SLIDES RGPD 2018 - 02 - 01 - Daniel - Leiria

IMPLEMENTAÇÃO DO NOVO
REGULAMENTO DE PROTEÇÃO DE
DADOS NA ADMINISTRAÇÃO PÚBLICA
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
Objetivos Específicos
Conhecer e identificar o enquadramento legal de proteção de dados

pessoais resultantes do (RGPD) em articulação com as funções
desenvolvidas nas diversas unidades orgânicas dos Organismos
Públicos, com vista a preparar eventuais desenvolvimentos
regulamentares e/ou adoção de normas internas, que permitam a
correta execução do RGPD
Sandra Francisco
Daniel Francisco
2018
AGENDA
1. Fundamentos sobre proteção de dados e privacidade
1.1. Enquadramento legal de acordo com o RGPD e sentido da evolução
1.2. Conceitos‐chave sobre PD e princípios enformadores
1.3. Atores, respetivo papel e responsabilidades
1.4. Direitos dos titulares dos dados
1.5. O tratamento de dados sensíveis
1.6. Data security e data protection
1.7. Transferências de dados para países terceiros
1.8. A autoridade de supervisão
Sandra Francisco
Daniel Francisco
2018
AGENDA
2. Organizar e implementar na prática um quadro de conformidade (compliance) com o
RGPD
2.1. Aspetos práticos gerais do RGPD
2.1.1. O histórico e o futuro: identificação, qualificação e parametrização dos

dados pessoais para efeitos do RGPD
2.1.2. Fundamentos para o tratamento de dados pelas entidades públicas e a

exclusão do interesse legítimo
2.1.3. Os direitos dos titulares dos dados e mecanismos para lidar com eles
2.1.4. O papel do Encarregado de Proteção de Dados (DPO) e a interação com a

organização
2.1.5. Privacy Impact Assessement
2.1.6. Definição das alterações necessárias para garantia de conformidade:

capacidade in house e contratação externa; os timings da contratação pública.
Sandra Francisco
Daniel Francisco
2018
AGENDA
2.2. Aspetos práticos, de natureza técnica, do RGPD
2.2.1. Proteção de dados by design e by default
2.2.2. Gestão da segurança de dados (Data security management)
2.2.3. Anonimização e pseudonimização
2.2.4. Cifragem
2.2.5. Gestão de identidades, gestão de acessos, arquivo digital e data

sharing entre entidades públicas
2.2.6. Responsabilidade do controller e do processor
2.2.7. As questões de dados na cloud
2.2.8. Gestão das quebras de privacidade dos dados (severity

assessements), notificações e comunicações
Sandra Francisco
Daniel Francisco
2.2.9. A alteração exigida em sede de contratação pública 2018
AGENDA
2.3. Transferência de dados
2.3.1. Como assegurar a conformidade das transferências de dados para

países terceiros
2.3.2. As decisões de adequação, o EU‐U.S. Privacy Shield e as Cláusulas

Contratuais Standard
2.3.3. Derrogações e exceções, incluindo o consentimento do titular dos

dados
2.4. Prova de compliance
2.4.1. Requisitos de accountability
2.4.2. Necessidade de organização de políticas e de procedimentos
Sandra Francisco
Daniel Francisco
2018
AGENDA
2.4.3. A exigência de um dossier de prova documental
2.4.4. Auditorias sobre privacidade
2.4.5. Supervisão, ações de enforcement e sanções
3. Análise de case studies e resolução de casos práticos, em grupos

multidisciplinares
Sandra Francisco
Daniel Francisco
2018
1. Enquadramento geral e impacto do Regulamento Geral de Proteção de
Dados (RGPD)
O novo Regulamento Geral de Proteção de Dados (RGPD ou, em Inglês,

GDPR) entrou em vigor no dia 24.05.2016 e é aplicável obrigatoriamente em
todos os Estados-Membros a partir do dia 25.05.2018.
Nessa data, todas as entidades da UE, públicas e privadas, têm de operar no

respeito das regras do Regulamento.
É responsabilidade de cada organismo público a sua própria implementação

dessa compatibilidade (compliance).
O presidente do organismo é o responsável pela proteção dos dados pessoais.
Sandra Francisco
Daniel Francisco
2018
Para começar: 7 perguntas chave a responder
1. Sei quais os dados que trato e o objetivo com que o faço?
2. Tenho base legal para todos os tratamentos que realizo?
3. Recolho apenas os dados pessoais de que necessito e pelo tempo de

conservação adequado?
4. Criei os mecanismos para assegurar os direitos das pessoas cujos dados

tratamos?
5. Informamos adequadamente as pessoas cujos dados tratamos?
6. Os dados pessoais que guardamos e processamos estão adequadamente

protegidos?
7. Numa auditoria, como demonstramos o cumprimento com o

RGPD?
Sandra Francisco
Daniel Francisco
2018
Evolução do enquadramento legal da Proteção de Dados Pessoais
De onde surge a preocupação com a proteção de dados pessoais?
A resposta imediata é que esta advém da consagração legal dos Direitos

Fundamentais no pós segunda guerra Mundial.
1948 - Com a DUDH (Declaração Universal dos Direitos do Homem), no seu

artigo 122, estabelecem-se na Declaração os direitos à privacidade e à reserva
da intimidade da vida privada, bem como à proibição de violação de
correspondência.
1950- A Comunidade Europeia do Carvão e do Aço (CECA) aprovou a

Convenção Europeia dos Direitos do Homem, e na Convenção manifesta-se,
igualmente, a preocupação face à intrusão do Estado na esfera privada dos
cidadãos.
Carta dos direitos fundamentais da União Europeia
Art.º 72 - Respeito pela vida privada e familiar

Todas as pessoas têm direito ao respeito pela sua vida privada e
familiar, pelo seu domicilio e pelas suas comunicações.
Art.º 82 - Proteção de dados pessoais
1. Todas as pessoas têm direito à proteção dos dados de caráter pessoal

que lhes digam respeito.
2. Esses dados devem ser objeto de um tratamento leal, para fins

específicos e com o consentimento da pessoa interessada ou com outro
fundamento legitimo previsto por lei. Todas as pessoas têm o direito de
aceder aos dados coligidos que lhes digam respeito e de obter a
respetiva retificação.
3. O cumprimento destas regras fica titular a fiscalização por parte de uma

autoridade independente.
Evolução
1970 — Surge a primeira Lei de proteção de dados pessoais do mundo, no

Estado de Hesse na Alemanha. Visava regular o acesso por parte do
governo a informações pessoais em formato digital, armazenadas em
servidores.
1980 — A OCDE (Organização para a Cooperação e Desenvolvimento

Económico), elaborou as Diretrizes para a Proteção da Privacidade e dos
Fluxos Transfronteiriços de Dados Pessoais.
Estas representaram um consenso internacional sobre a recolha e gestão da

informação pessoal, bem como a privacidade e dos fluxos transfronteiriços
de dados pessoais.
Evolução
1995 — O Conselho da União Europeia aprovou a Diretiva 95/46/CE relativa à

proteção das pessoas singulares, no que diz respeito ao tratamento de dados
pessoais e à sua livre circulação.
Visa tornar equivalente em todos os Estados-Membros o nível de proteção dos

direitos e liberdades das pessoas no que diz respeito ao tratamento de dados
pessoais, e teve por objetivo, garantir um elevado nível de proteção na União e
uma harmonização das referidas legislações nacionais...“
Fonte: Acórdão de 24 de novembro de 2011 (Associación Nacional de Establecimientos Financeiros de Crédito — ASNEF e Federación de
Comercio Electrónico y Marketing Directo — FECEMD vs Administración del Estad).
Evolução
2009 — O Tratado sobre o Funcionamento da União Europeia, estabelece no

artigo 16.2 n.22, que os órgãos soberania estão igualmente vinculados às
normas relativas à Proteção de Dados Pessoais das pessoas singulares, no
âmbito da sua atuação.
O Parlamento Europeu e o Conselho, deliberando de acordo com o processo

legislativo ordinário, estabelecem as normas relativas à proteção das pessoas
singulares, no que diz respeito ao tratamento de dados pessoais pelas
instituições, órgãos e organismos da União, bem como pelos Estados Membros
no exercício das atividades relativas à aplicação desses dados.“
Evolução
Presentemente, a União Europeia estabeleceu como meta mais urgente, a

construção do Mercado Único Digital (Digital Single Market) para a Europa e
a sua entrada em funcionamento a partir de 2020.
Os Três princípios da atuação do Mercado Único Digital :
Melhor acesso dos consumidores e das empresas aos bens
Um ambiente propício ao desenvolvimento das redes e serviços digitais
A economia digital como motor de crescimento

Porquê do Novo RGPD?
As regras em vigor decorrem da transposição portuguesa de uma diretiva europeia

de proteção de dados pessoais — a Diretíva 95/46/EC
Passados 20 anos, era necessário modernizar o enquadramento regulamentar:
• Aparecimento da internet
• Serviços e comércio online
• Redes sociais
• Marketing digital e big data
• Localização
• Capacidades de processamento e armazenamento digital, a Cloud
• Era necessário devolver ao indivíduo o poder sobre os seus dados
• Era necessário simplificar o enquadramento regulamentar para bem das
empresas
• Era necessário uniformizar as regras no espaço europeu
Assim:
O Novo Regulamento Geral sobre a Proteção de Dados Pessoais, deriva da
necessidade de compilar numa só fonte legal, diretrizes concernes à
proteção das pessoas singulares no tratamento de dados pessoais e livre
circulação dos mesmos.
• O Regulamento, começa a ser aplicado a partir de 25 de maio de 2018 e
é vinculativo para os 28 Estados Membros da União, substituindo assim a
Diretiva 95/46/CE.
• A ratio legis, passa por ajudar o titular singular a interagir melhor com os
responsáveis pelo tratamento, para que o processo seja transparente e
eficaz, desta forma assegurando que o titular dos dados pessoais toma
decisões informadas.
No reverso da medalha, o RGPD reveste-se de um acrescido peso coercivo
face aos responsáveis pelo tratamento de dados pessoais.
Evolução
A EU propõe em janeiro de 2012 a reforma das regras de proteção de dados

para aumentar o controlo individual dos seus dados e reduzir custos de contexto
• Em Março de 2014 o parlamento europeu aprova uma proposta de

regulamento
• Em abril de 2016 o RGPD foi anunciado
• Em maio de 2016 o RGPD entrou em vigor
• Em maio de 2018 o RGPD começa a ser aplicado

2.Competência, âmbito e articulação com demais legislações aplicáveis
(Diretivas UE) 2016/680, e UE) 2016/681, legislação nacional, etc
Aplicação do RGPD a pessoas singulares

• (14) A proteção conferida pelo presente regulamento deverá aplicar-se às
pessoas singulares,
• independentemente da sua nacionalidade ou do seu local de residência,
• relativamente ao tratamento dos seus dados pessoais.
O presente regulamento não abrange o tratamento de dados pessoais relativos

a pessoas coletivas, em especial a empresas estabelecidas enquanto pessoas
coletivas, incluindo a denominação, a forma jurídica e os contactos da pessoa
coletiva.
Sandra Francisco
Daniel Francisco
2018
2.Competência, âmbito e articulação com demais legislações aplicáveis
(Diretivas UE) 2016/680, e UE) 2016/681, legislação nacional, etc
O presente regulamento não se aplica às questões de defesa dos direitos e das liberdades
fundamentais ou da livre circulação de dados pessoais relacionados com atividades que se
encontrem fora do âmbito de aplicação do direito da União, como as que se prendem com a
segurança nacional. O presente regulamento não se aplica ao tratamento de dados pessoais
pelos Estados-Membros no exercício de atividades relacionadas com a política externa e de
segurança comum da União.” (considerando 16)
Diretiva (UE) 2016/680 – relativa à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção,
investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à
livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho
Diretiva (UE) 2016/681 – relativa à utilização dos dados dos registos de identificação dos
passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das
infrações terroristas e da criminalidade grave Sandra Francisco
Daniel Francisco
2018
2. Competência, âmbito e articulação com demais legislações
aplicáveis (Diretivas UE) 2016/680, e UE) 2016/681, legislação
nacional, etc
(19) A proteção das pessoas singulares em matéria de tratamento de

dados pessoais pelas autoridades competentes para efeitos de
prevenção, investigação, deteção e repressão de infrações penais ou
da execução de sanções penais, incluindo a salvaguarda e a prevenção
de ameaças à segurança pública, e de livre circulação desses dados, é
objeto de um ato jurídico da União específico. O presente regulamento
não deverá, por isso, ser aplicável às atividades de tratamento para
esses efeitos (…).
Sandra Francisco
Daniel Francisco
2018
Articulação com demais legislações aplicáveis (Diretivas UE), CRP,
legislação nacional, etc
Com o RGPD a rutura será muito menor do que se pensa:
As Fontes Constitucionais da UE continuam (Art.º 16.º do Tratado sobre o Funcionamento

da União Europeia e Art.º 8.º da Carta dos Direitos Fundamentais da União Europeia)
O essencial foi assente pela Jurisprudência do Tribunal de Justiça da UE (Acórdãos de 8

de abril de 2014, C-293/12 e C-594/12, Digital Rights Ireland, de 13 de maio de 2014,
C131/12, Google Spain, de 6 de outubro de 2015, C-362/14, Schrems, e de 21 de
dezembro de 2016, C-203/15, Tele2 Sverige, depois do Tratado de Lisboa, 2007/2009)
o Direito do Conselho da Europa é a referência, sobretudo a Convenção para a Proteção
dos Direitos do Homem e das Liberdades Fundamentais, de 4 de novembro de 1950, e a
Jurisprudência do Tribunal Europeu dos Direitos do Homem, com base no Art.º 8.º da
Convenção (Ex vi Art.º 6.º do Tratado da União Europeia)
Sandra Francisco
Daniel Francisco
2018
Articulação com demais legislações aplicáveis (Diretivas UE), CRP,
legislação nacional, etc
Com o RGPD
Apesar da Aplicabilidade Direta e do Primado, teremos de atender às
Outras Fontes em presença:
Começando pelas constitucionais, nomeadamente ao disposto nos

Art.ºs 26.º, 34.º e, sobretudo, 35.º da Lei Fundamental
Seguindo-se as de Direito Internacional, como a Convenção do

Conselho da Europa para a Proteção dos Indivíduos face ao
Tratamento Automático de Dados Pessoais - Convenção 108, de 28 de
janeiro de 1981, e a Convenção do Conselho da Europa sobre o
Cibercrime, adotada em Budapeste, de 23 de novembro de 2001
Sandra Francisco
Daniel Francisco
2018
Articulação com demais legislações aplicáveis
(Diretivas UE), CRP, legislação nacional, etc
Com o RGPD
A Proteção de dados como Direto Fundamental
Sandra Francisco
Daniel Francisco
2018
Proteção de dados como direito fundamental
A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um

direito fundamental.
O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia («Carta») e o
artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia (TFUE)
estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que
lhes digam respeito (considerando 1).
Sandra Francisco
Daniel Francisco
2018
Proteção de dados como direito fundamental
Resulta do artigo 1.°, bem como dos considerandos 2 e 10 da Diretiva 95/46, que
esta visa assegurar não só uma proteção eficaz e completa das liberdades e dos
direitos fundamentais das pessoas singulares, nomeadamente o direito fundamental
à vida privada, no que diz respeito ao tratamento de dados pessoais, como também
um elevado nível de proteção dessas liberdades e desses direitos fundamentais.
A importância tanto do direito fundamental à vida privada, garantido pelo artigo 7.°
da Carta, como do direito fundamental à proteção dos dados pessoais, garantido
pelo seu artigo 8.° é, além disso, sublinhada na jurisprudência do Tribunal de
Justiça (v. acórdãos Rijkeboer, C-553/07, EU:C:2009:293, n.° 47; Digital Rights
Ireland e o., C-293/12 e C-594/12, EU:C:2014:238, n.° 53; bem como Google Spain
e Google, C-131/12, EU:C:2014:317, n.os 53, 66 e 74 e jurisprudência aí referida).
(Acórdão Schrems, 6 de outubro de 2015, 39)
Sandra Francisco
Daniel Francisco
2018
Articulação com demais legislações aplicáveis
(Diretivas UE), CRP, legislação nacional, etc
Com o RGPD
A Proteção de dados como Direto Fundamental
Articulação com art.º 35 º da CRP
Sandra Francisco
Daniel Francisco
2018
CONSTITUIÇÃO DA REPÚBLICA PORTUGUESA - Artigo 35º
Utilização da Informática
1. Todos os cidadãos têm o direito de acesso aos dados informatizados que lhes
digam respeito, podendo exigir a sua reificação e atualização, e o direito de
conhecer a finalidade a que se destinam, nos termos previstos na lei.
2. A lei define o conceito de dados pessoais, bem como as condições aplicáveis ao

seu tratamento automatizado, conexão, transmissão e utilização, e garante a sua
proteção, designadamente através de entidade administrativa independente.
3. A informática não pode ser utilizada para tratamento de dados referentes a

convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida
privada e origem étnica, salvo mediante consentimento expresso do titular,
autorização prevista por lei com garantias de não discriminação ou para
processamento de dados estatísticos não individualmente identificáveis.
CONSTITUIÇÃO DA REPÚBLICA PORTUGUESA - Artigo 35º
Utilização da Informática (cont.)
4. É proibido o acesso a dados pessoais de terceiros, salvo em casos excecionais

previstos na lei.
5. É proibida a atribuição de um número nacional único aos cidadãos.
6. A todos é garantido livre acesso às redes informáticas de uso público, definindo a lei
o regime aplicável aos fluxos de dados transfronteiras e as formas adequadas de
proteção de dados pessoais e de outros cuja salvaguarda se justifique por razões de
interesse nacional.
7. Os dados pessoais constantes de ficheiros manuais gozam de proteção idêntica à

prevista nos números anteriores, nos termos da lei.
Regulamento Geral de Proteção de Dados
Análise do RGPD
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho
de 27 de abril de 2016 (RGPD) – revoga a Diretiva 95/46, de 24 de
outubro
Para produzir efeitos a 25 de maio de 2018
Texto denso: 99 artigos e 173 considerandos – é impossível compreender o

sentido dos artigos, sem a compreensão dos considerandos.
Texto complexo: abundam as remissões e as remissões para o direito interno.
Abundam conceitos vagos e indeterminados.
São comuns artigos longos, com muitas alíneas e muitas intercalações dentro de
cada uma delas.
Esta técnica de redação torna o RGPD um instrumento jurídico especialmente

complexo. Sandra Francisco
Daniel Francisco
2018
Sistematização do RGPD
a) Âmbito de aplicação (artigos 1.º a 3.º);
b) Definições (artigo 4.º);
c) Princípios e condições de legitimidade dos tratamentos de dados
pessoais (artigos 5.º a 11.º);
d) Direitos do titular dos dados (artigos 12.º a 23.º);
e) Regime aplicável ao responsável pelo tratamento e ao subcontratante
(artigos 24.º a 31.º);
f) Segurança nos dados pessoais (artigos 32.º a 36.º);
g) Regime jurídico do encarregado de proteção de dados (artigos 37.º a
39.º);
Sandra Francisco
Daniel Francisco
2018
Sistematização do RGPD
h) Códigos de conduta e certificação (artigos 40.º a 43.º);
i) Transferência de dados pessoais para países terceiros e organizações internacionais

(artigos 44.º a 50.º);
j) Regime jurídico das autoridades de controlo independentes (artigos 51.º a 59.º);
k) Cooperação entre autoridades de controlo (artigos 60.º a 66.º);
l) Competências e funcionamento do Comité Europeu para a Proteção de Dados (artigos 68.º

a 76.º);
m) Recursos e responsabilidade (artigos 77.º a 82.º);
n) Direito sancionatório (artigos 83.º e 84.º);
0) Situações específicas de tratamento de dados pessoais (artigos 85.º a 91.º)

Sandra Francisco
Daniel Francisco
2018
Objeto e âmbito
Artigo 1.º
(…)
1. O presente regulamento estabelece as regras relativas à proteção das

pessoas singulares no que diz respeito ao tratamento de dados pessoais
e à livre circulação desses dados.
2. O presente regulamento defende os direitos e as liberdades

fundamentais das pessoas singulares, nomeadamente o seu direito à
proteção dos dados pessoais.
3. A livre circulação de dados pessoais no interior da União não é

restringida nem proibida por motivos relacionados com a proteção das
pessoas singulares no que respeita ao tratamento de dados pessoais.
Sandra Francisco
Daniel Francisco
2018
Artigo 2.º
Âmbito de aplicação material
2. O presente regulamento não se aplica ao tratamento de dados pessoais:

(…)
c) Efetuado por uma pessoa singular no exercício de atividades
exclusivamente pessoais ou domésticas;
O presente regulamento não se aplica ao tratamento de dados pessoais efetuado por

pessoas singulares no exercício de atividades exclusivamente pessoais ou domésticas
e, portanto, sem qualquer ligação com uma atividade profissional ou comercial.
As atividades pessoais ou domésticas poderão incluir a troca de correspondência e a

conservação de listas de endereços ou a atividade das redes sociais e do ambiente
eletrónico no âmbito dessas atividades. Todavia, o presente regulamento é aplicável
aos responsáveis pelo tratamento e aos subcontratantes que forneçam os meios para o
tratamento dos dados pessoais dessas atividades pessoais ou domésticas.”
(considerando 18) Sandra Francisco
Daniel Francisco
2018
Artigo 3.º
Âmbito de aplicação territorial
1.O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no

contexto das atividades de um estabelecimento de um responsável pelo tratamento ou
de um subcontratante situado no território da União, independentemente de o
tratamento ocorrer dentro ou fora da União.
2.O presente regulamento aplica-se ao tratamento de dados pessoais de titulares

residentes no território da União, efetuado por um responsável pelo tratamento ou
subcontratante não estabelecido na União, quando as atividades de tratamento estejam
relacionadas com:
a) A oferta de bens ou serviços a esses titulares de dados na União,

independentemente da exigência de os titulares dos dados procederem a um
pagamento;
b) O controlo do seu comportamento, desde que esse comportamento tenha lugar na
União.
3.O presente regulamento aplica-se ao tratamento de dados pessoais por um

responsável pelo tratamento estabelecido não na União, mas num lugar em que se
aplique o direito de um Estado-Membro por força do direito internacional público
Sandra Francisco
Daniel Francisco
2018
Âmbito de aplicação territorial (considerandos)
(23) A fim de evitar que as pessoas singulares sejam privadas da proteção que lhes
assiste por força do presente regulamento, o tratamento dos dados pessoais de titulares
que se encontrem na União por um responsável pelo tratamento ou subcontratante não
estabelecido na União deverá ser abrangido pelo presente regulamento se as atividades
de tratamento estiverem relacionadas com a oferta de bens ou serviços a esses
titulares, independentemente de estarem associadas a um pagamento (…).
(24) (…). A fim de determinar se uma atividade de tratamento pode ser considerada
«controlo do comportamento» de titulares de dados, deverá determinar-se se essas
pessoas são seguidas na Internet e a potencial utilização subsequente de técnicas de
tratamento de dados pessoais que consistem em definir o perfil de uma pessoa singular,
especialmente para tomar decisões relativas a essa pessoa ou analisar ou prever as
suas preferências, o seu comportamento e as suas atitudes.
Sandra Francisco
Daniel Francisco
2018
ENQUADRAMENTO GERAL
Tratamento de Dados Pessoais
• Operação/ ou um conjunto de operações efetuadas sobre dados

pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou
não automatizados
... ou seja:
Recolher, Armazenar, Registar ,Alterar , Adaptar, Transferir Transmitir,

Apagar/Destruir
Princípios base do RGPD — Palavras Chave
Transparência Prazo de Conservação
Finalidade Integridade e Confidencialidade
Precisão Responsabilização dos operacionais do tratamento de dados

Transparência - O processamento dos Dados Pessoais deve ser feito de

forma licita, leal e transparente, com respeito pelos direitos do titular dos
direitos de personalidade.
Finalidade - A recolha de dados pessoais deve ser determinada a uma

finalidade específica e essa, além de legítima deve ser explícita - os dados
pessoais recolhidos devem corresponder ao "mínimo indispensável" para se
satisfazer a finalidade pretendida.
Precisão - Os dados Pessoais devem ser exatos e atualizados sempre que

necessário e quando estejam inexatos devem os mesmos ser eliminados ou
corrigidos, utilizando para tal todas as medidas adequadas
Conservação - Prazo de conservação de dados pessoais, que não pode

exceder o tempo necessário para a concretização da finalidade para as
quais os dados pessoais foram recolhidos
Integridade e Confidencialidade - O legislador estabelece o dever de

integridade e confidencialidade no tratamento de dados pessoais.
Responsabilização dos Operacionais do tratamento de dados pessoais - Os

operacionais do tratamento devem ser responsáveis devem ser
responsabilizados por obedecer e compatibilizar o tratamento de dados
pessoais com as normas constantes do Regulamento Geral de Proteção de
Dados.
Responsabilidade e Aplicabilidade
Quem são os Responsáveis pelo Tratamento de Dados Pessoais?
Qualquer titular jurídico (seja pessoa singular ou coletiva) que realize qualquer
tipo de tratamento que envolva Dados Pessoais.
Qual o âmbito geográfico do RGPD?
Regra geral, apenas estão sujeitas à lei as entidades que residam/tenham o seu
estabelecimento no território da UE.
No entanto, esta lei também pode ser aplicável ao tratamento de dados por
empresas/pessoas com residência/sede fora deste território em determinadas
situações específicas e previstas na lei.
Ex: No que respeita à proteção dos Dados Pessoais de cidadãos oriundos de

países terceiros, mas que visitam a UE.
Conforme consta do Considerando 14 do preâmbulo do RGPD: "A proteção

conferida pelo presente regulamento deverá aplicar-se às pessoas singulares,
independentemente da sua nacionalidade ou do seu local de residência,
relativamente ao tratamento dos seus dados pessoais.“
Atores, respetivo papel e responsabilidades
O titular dos dados — A pessoa natural cujos dados são alvo de

tratamento
O Responsável/controller— A Entidade responsável pelo tratamento;

aquele que define a finalidade do tratamento.
O processor— A Entidade que executa tecnicamente o tratamento (pode

ser o Responsável ou o subcontratante)
DPO/EPD — Data Protection Officer ou Encarregado de Proteção de Dados
O Presidente do CD/Diretor-Geral/Presidente de Autarquia Local, etc - O

responsável pela proteção dos dados pessoais tratados pela Entidades
Universo — toda a recolha, armazenamento e processamento de dados

pessoais, em sistemas informáticos e em papel
Atores secundários
Subcontratante - Uma pessoa singular ou coletiva, a autoridade pública,

agência ou outro organismo que trate os dados pessoais por conta do
responsável pelo tratamento destes
Destinatário - Uma pessoa singular ou coletiva, a autoridade pública, ou

outro organismo que recebem comunicações de dados pessoais
Atenção: As autoridades públicas que possam receber dados pessoais

no âmbito de inquéritos específicos nos termos do direito da União ou
dos Estados-Membros não são consideradas destinatários
O tratamento desses dados por essas autoridades públicas deve cumprir

as regras de proteção de dados aplicáveis em função das finalidades do
tratamento
Responsabilidades na seleção de subcontratados
Há uma maior responsabilização, nomeadamente com a sujeição dos

subcontratantes aos termos do RGPD.
Isto é, pela primeira vez os subcontratantes são regulados diretamente, passando

a estar sujeitos a uma série de obrigações — e também sanções — até agora
apenas impostas aos responsáveis pelo tratamento.
O RGPD clarifica a posição do subcontratante, adicionando alguns elementos

novos, como sendo o facto de, se o subcontratante tratar dados para além das
instruções do responsável pelo tratamento, passar a ser considerado como um
corresponsável.
Capacidade interna e contratação externa
Os timings da contratação pública
As Entidades Públicas devem consignar nos Contratos Públicos a sua

conformidade com o RGPD
Mesmo que na concretização do contrato, a entidade tenha que recorrer a uma

entidade subcontratada, o controller é responsável por garantir o respeito pelas
normas respeitantes à proteção de dados pessoais
Mantém-se a obrigação de celebração de um contrato ou documento escrito

que regule a relação contratual e os termos do tratamento
O subcontratante passa a assumir mais responsabilidades diretas, recaindo

sobre ele um conjunto de obrigações
Capacidade interna e contratação externa
Os timings da contratação pública
(Cont.)
O tratamento em subcontratação é regulado por contrato que vincule o

subcontratante ao responsável pelo tratamento, estabeleça o objeto e a duração
do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e
as categorias dos titulares dos dados, e as obrigações e direitos do responsável
pelo tratamento.
Os subcontratantes podem, por isso, ser diretamente responsabilizados.
Os subcontratantes deverão apresentar garantias suficientes de execução de

medidas técnicas e organizativas adequadas de forma a que o tratamento
satisfaça os requisitos do Regulamento
Estabelecimento principal
No que se refere a um responsável pelo tratamento (Controller):
Com estabelecimentos em vários Estados-Membros, o local onde se encontra a

sede na União,
A menos que as decisões sobre as finalidades e os meios de tratamento dos

dados pessoais sejam tomadas noutro estabelecimento do responsável pelo
tratamento na União e este último estabelecimento tenha competência para
mandar executar tais decisões, sendo neste caso o estabelecimento que tiver
tomado as referidas decisões considerado estabelecimento principal
No que se refere a um subcontratante com estabelecimentos em vários Estados-

Membros:
• O local onde se encontra a sua sede na União ou,
• Caso o subcontratante não tenha administração central na União, o
estabelecimento do subcontratante na União onde são exercidas as principais
atividades de tratamento no contexto das atividades de um estabelecimento do
subcontratante, na medida em que se encontre titular a obrigações específicas
nos termos do presente regulamento
4.Direito versus Tecnologia-Intervenientes no processo-papel e
responsabilidades
Segurança e Privacidade
Sandra Francisco
Daniel Francisco
2018
Definição de Privacidade
"O direito a ser livre de vigilância secreta e de determinar se, quando, como e
a quem é revelada informação pessoal ou organizacional do próprio“
A privacidade pode ser dividida em quatro categorias:
Física: restringir a terceiros a experiência de uma pessoa através de um ou

mais dos sentidos humanos
Informacional: restringir a terceiros a pesquisa ou a revelação de factos que

não são conhecidos senão à pessoa
Decisória: restringir a interferência de terceiros em decisões do foro exclusivo

do próprio
Psicológica: restringir a terceiros tentativas de ganhar conhecimento sobre os

pensamentos e o estado emocional do próprio
Fonte: businessdictionary com
Sandra Francisco
Daniel Francisco
2018
Diferenças para a regulamentação atual
Dados pessoais baseados na Diretiva 95/46/EC (Art. 2g)

• Qualquer informação baseada numa pessoa natural (singular) identificada ou
identificável (o titular dos dados)
• Uma pessoa identificável é aquela que pode ser identificada, direta ou
indiretamente, em particular através de uma referência a um número de
identificação ou a um ou mais fatores específicos relacionados com a sua
identidade física, fisiológica, mental, económica, cultural ou social
Dados pessoais baseados no RGPD (Art. 4'2)
• Qualquer informação baseada numa pessoa natural (singular) identificada ou

identificável (o titular dos dados)
• Uma pessoa natural identificável é aquela que pode ser identificada, direta ou
indiretamente, em particular através de uma referência como um nome, um
número de identificação, dados de localização, identificador onlinF , ou a um ou
mais fatores específicos relacionados com a sua identidade física, fisiológica,
genética, mental, económica, cultural ou social
Diferenças para a regulamentação atual
Âmbito na Diretiva 95/46/EC
O tratamento é realizado no contexto de atividades de um estabelecimento do

controller no território de um Estado-membro
Âmbito no RGPD
Aplicado ao tratamento na União de dados pessoais no contexto de atividades

de um estabelecimento de um controller ou processor, independentemente de
esse tratamento ocorrer na União ou não
Aplicado ao tratamento de dados pessoais de sujeitos registados que estão na

União, por um controller ou processor não estabelecido na União
Segunda de tarde
5 Delimitação de conceitos gerais e noções chave subjacentes ao RGPD:
Dados, Cloud, Big, data, Data Minning, IoT (Internet das coisas), Proteção,
Privacidade, Consentimento tácito, Dados Pessoais, Bases de Dados, Proteção,
Privacidade, Consentimento informado e expresso
Sandra Francisco
Daniel Francisco
2018
Dados :
Dados são um conjunto de valores ou

ocorrências em um estado bruto com o qual são
obtidas informações com o objetivo de adquirir
benefícios. Existem dois tipos de dados: Sandra Francisco
Daniel Francisco
estruturados e não estruturados. 2018
Data ou dados informáticos
Do latim datum (“aquilo que se dá”), um dado é um

documento, uma informação ou um testemunho que
permite chegar ao conhecimento de algo ou deduzir as
consequências legítimas de um facto, e que serve de
apoio.
Na informática, os dados são expressões gerais que

descrevem características das entidades sobre as quais
operam os algoritmos.
Estas expressões devem ser apresentadas de maneira a

que possam ser tratadas por um computador. Neste caso,
os dados por si só também não constituem informação, a
menos que esta surja do adequado processamento dos
dados. Sandra Francisco
Daniel Francisco
2018
Big data
Big Data é a análise e a interpretação de

grandes volumes de dados de grande
variedade. Para isso são necessárias
soluções específicas para Big Data que
permitam a profissionais de TI trabalhar
com informações não-estruturadas a uma
grande velocidade.
Baseia-se nos 5 V’s. que são volume,
velocidade e variedade, veracidade e valor.
Sandra Francisco
Daniel Francisco
2018
Big data
Volume: Refere-se exatamente à essa quantidade de dados que o Big

Data processa. Nos dias de hoje geramos muito mais dados com
dispositivos móveis e TVs. Além disso, os social media geram a todo tempo
informações maioritariamente públicas.
Variedade: Quanto mais dados e fontes temos, maior é a complexidade para trabalhar os
dados, mas também maiores as possibilidades para gerar informação útil. Por isso a
variedade de dados é importante. Chamamos de fonte de dados os locais onde os dados
são armazenados, ferramentas como Google Analytics, RD Station, Facebook e apps
como o Whatsapp são fontes de dados.
Velocidade: É um dos grandes desafios do Big Data. Devido ao grande volume e

variedade de dados, o processamento deve ser ágil para gerar as informações
necessárias. É necessário gerar informação com a maior agilidade possível para que as
tomadas de decisão sejam efetivas.
Sandra Francisco
Daniel Francisco
2018
5. Delimitação de conceitos gerais e noções chave subjacentes ao RGPD:
Veracidade: Está ligada diretamente a quanto uma informação é verdadeira. O emaranhado
de dados pode confundir, por isso para obtermos veracidade dos dados.
Valor: O último V. Numa informação que não serve para nada, o valor do trabalho realizado
será perto de zero, portanto, precisamos entender bem o contexto e a necessidade, para
gerar a informação certa para as pessoas certas. Por isso falamos tanto em “informação útil”
e conhecimento .
Sandra Francisco
Daniel Francisco
2018
Data Minning
Processo de explorar
grandes quantidades de
dados à procura de
padrões consistentes,
como regras de
associação ou
sequências temporais,
para detetar
relacionamentos
sistemáticos entre
variáveis, Sandra Francisco
Daniel Francisco
2018
Cloud,
É o fornecimento de serviços informáticos - servidores,

armazenamento, bases de dados, rede, software, análises,
entre outros — através da Internet (“a cloud”). Sandra Francisco
Daniel Francisco
2018
IoT (Internet das coisas)
A IoT, é uma extensão da Internet atual, que

proporciona aos objetos do dia-a-dia (quaisquer que
sejam), que tenham capacidade computacional e de
comunicação (possuam um endereço IP), se
conectarem à Internet.
A "Internet das Coisas“, no fundo, conecta os

aparelhos e veículos com sensores eletrónicos com
a Internet.
Sandra Francisco
Daniel Francisco
2018
Bases de Dados
Base de dados (ou database, de acordo
com o termo inglês) o conjunto dos dados
que pertencem a um mesmo contexto e
que são armazenados sistematicamente
para que possam ser usados no futuro.
Estas bases de dados podem ser

estáticas (quando os dados armazenados
não variam com o passar do tempo) ou
dinâmicas (os dados são alterados com o
tempo, pelo que requerem atualizações
periódicas).
Sandra Francisco
Daniel Francisco
2018
Proteção de dados
•O RGPD é sobre a proteção

da privacidade, que incluí a
proteção e segurança dos dados
subjacentes
A gestão da segurança dos dados cobre todos os

princípios já conhecidos, mas agora com o poder do
Regulamento:
• A proteção dos dados a roubos ou extravio
• Proteção física
• Encriptação
• Anonimização
•A proteção dos dados contra acessos desnecessários

•Deve aceder apenas e só quem precisa para efeitos do tratamento
•Isso implica que o modelo hierárquico não chega
•Deve haver registo dos acessos a dados pessoais Sandra Francisco

Daniel Francisco
2018
Privacidade
Privacidade (derivado do inglês privacy) é o direito à reserva de informações

pessoais e da própria vida privada
O RGPD torna o “Privacy by Design” um requisito legal explícito e um auxiliar

precioso para abordar o desafio, pelo que deve familiarizar-se com a
metodologia e implementá-la na sua organização.
Privacy by Design (minimização da recolha de dados em função da finalidade,

cookies, prazo de conservação, avisos de informação, recolha do
consentimento, segurança e confidencialidade dos dados assegurando a
responsabilidade dos que procedem ao tratamento
Sandra Francisco
Daniel Francisco
2018
Consentimento informado e expresso
O Regulamento define consentimento como uma manifestação de vontade, que

deve ser livre, específica, informada e explícita. (art.º 4º / 11). Essa
manifestação de vontade representa a aceitação, que deve ser uma ação
positiva, que os dados pessoais que lhe dizem respeito sejam objeto de
tratamento
Significa isto que o consentimento tácito é expressamente considerado como

inválido.
Sandra Francisco
Daniel Francisco
2018
Diferença entre Consentimento e Consentimento informado e expresso

Em particular, pode estabelecer-se que cabe ao responsável pelo tratamento
demonstrar que o titular dos dados deu o seu consentimento (livre, específico,
informado e agora, também, explícito) e que, caso o consentimento seja dado por
escrito num documento que diga também respeito a outros assuntos, este deverá
estar devidamente destacado (de modo inteligível, numa linguagem clara e de fácil
acesso) dos outros aspetos regulados no documento.
Não sendo admitidos consentimentos implícitos (por exemplo, por aceder e navegar
simplesmente num site/portal ou não responder a um pedido).
O consentimento tem de ser livre, específico, informado, explícito e inequívoco.
Sandra Francisco
Daniel Francisco
2018
O que serve de Prova do consentimento(art.º 7º/1):

1. O Responsável pelo tratamento tem de demonstrar que o titular dos dados
prestou o seu consentimento para o tratamento;
2. Se o consentimento tiver sido dado no contexto de uma declaração escrita
que diga também respeito a outros assuntos deve ser apresentado de forma
inteligível; de fácil acesso e numa linguagem clara e simples.
3. O RGPD exige que o consentimento seja sempre expresso.
O consentimento deverá ser dado mediante um ato positivo claro que indique uma
manifestação de vontade livre, específica, informada e inequívoca de que o titular de
dados consente no tratamento dos dados que lhe digam respeito.
Sandra Francisco
Daniel Francisco
2018
.
Como pode ser declarado uma ato positivo de consentimento?:
• uma declaração escrita, inclusive em formato eletrónico
• ou uma declaração oral (por ex: uma chamada telefónica gravada num
IVR)
• Validar uma opção ao visitar um sítio web na internet
• Selecionar parâmetros técnicos (cookies), para utilização de serviços da
sociedade da informação ou
• Mediante outra declaração que indique claramente nesse contexto que a ceita
o tratamento dos seus dados pessoais.
Por conseguinte não corresponde a um ato positivo de consentimento positivo válido:

• o silêncio;
• as opções pré-validadas e
• a omissão Sandra Francisco
Daniel Francisco
2018
Nota importante (art.º7º /3).
O titular dos dados tem o direito de retirar o seu consentimento a qualquer

momento.
A retirada do consentimento não compromete a licitude do tratamento efetuado
com base no consentimento previamente dado (não há retroatividade).
O consentimento deve ser tão fácil de retirar quanto que dar.
Sandra Francisco
Daniel Francisco
2018
6. A CNPD - Comissão Nacional de Proteção de Dados
Em Portugal, os cidadãos detêm um conjunto de direitos sobre os seus dados

pessoais, pelo que estes têm de ser adequadamente protegidos. Existem nesta
esfera tanto uma entidade oficial com estatuto de autoridade jurídica – a
Comissão Nacional de Protecção de Dados – como legislação específica,
nomeadamente o artigo 35.º da Constituição e a Lei n.º 67/98, de 26 de
Outubro.
A Comissão Nacional de Proteção de Dados, segundo o apresentado no seu

site é uma entidade administrativa independente com poderes de autoridade,
que funciona junto da Assembleia da República. Tem como atribuição
genérica controlar e fiscalizar o processamento de dados pessoais, em
rigoroso respeito pelos direitos do homem e pelas liberdades e garantias
consagradas na Constituição e na lei. A Comissão é a Autoridade Nacional de
Controlo de Dados Pessoais. http://www.cnpd.pt/ Sandra Francisco
Daniel Francisco
2018
A comissão começou como sendo a Comissão Nacional de Proteção de Dados

Pessoais Informatizados (CNPDPI) que teve existência legal em 1991, mas que
só veio a ser constituída em 1994. Atualmente chama-se Comissão Nacional de
Proteção Dados e é a entidade responsável, em Portugal, de garantir que as
instituições, organizações e outras entidades não invadem a privacidade dos
titulares dos dados, certificando-se que apenas utilizam os dados recolhidos para
a finalidade da recolha.
Comissão Nacional de Proteção de Dados, que funciona junto da Assembleia da

República. Tem poderes de autoridade, e a sua função é controlar e fiscalizar o
cumprimento das disposições legais e regulamentares em matéria de dados
pessoais, em rigoroso respeito pelos direitos do homem e pelas liberdades e
garantias consagradas na Constituição e na lei. Nesse âmbito, esta comissão
também tem por missão autorizar recolhas de dados em muitas situações
Sandra Francisco
explicitamente consagradas na lei. Daniel Francisco
2018
exemplos de:
Autorização de transferência de dados ao estrangeiro
https://www.cnpd.pt/bin/decisoes/1999/htm/aut/aut001-99.htm
Tratamento de dados biométricos que tem como finalidade o controlo de

Assiduidade dos trabalhadores
https://www.cnpd.pt/bin/decisoes/Aut/10_3_2018.pdf
Deliberação sobre a pretensão de acesso aos dados pessoais constantes de

recibo de vencimento de trabalhadores objeto de processo de execução
https://www.cnpd.pt/bin/orientacoes/DEL_923_2016.pdf
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados - Encarregado de Proteção de
Dados/Data Protection Office (DPO)
Índice:
1. Do Data Protection Officer como exceção até ao Data Protection Officer

como regra
2. Requisitos de obrigatoriedade de designação do DPO (artigo 37.º/1 RGPD)
3. Quem tem de designar um DPO?
4. DPO e grupos de instituições
5. Funções do DPO
6. O perfil profissional do DPO
7. Posição funcional do DPO
8. Responsabilidade do DPO
9. Conclusões: o impacto
Sandra Francisco
Daniel Francisco
2018
1. Do Data Protection Officer como exceção até ao Data Protection Officer

como regra
a) A existência de DPO é, em vários países (com o exemplo cimeiro da

Alemanha) anterior ao RGPD, contudo apenas com este se torna
legalmente obrigatório, verificadas as condições das alíneas do artigo
37.º/1 do RGPD.
Na interpretação do RGPD o Grupo de Trabalho do Artigo 29.º (“GT29”)

recomenda que se, na dúvida, se considere necessário um DPO
(Guidelines on Data Protection Officers (‘DPOs’), p. 4)
Sandra Francisco
Daniel Francisco
2018
O GT29 recomenda que todo o processo de análise e determinação da

necessidade legal de designação de um DPO seja documentado e arquivado.
b) A sua designação fora dos casos previstos no RGPD continua a ser

facultativa - o RGPD limitou-se a tornar obrigatória para certos casos uma
figura que já existia em diversas instituições
c) Em especial: os DPO de associações ou representantes de responsáveis pelo

tratamento (cf. artigo 37.º/4 RGPD)
Sandra Francisco
Daniel Francisco
2018

a) entidades públicas (com exceção de tribunais no exercício da função
jurisdicional) inclui entidades privadas no exercício de poderes públicos (GT29, p.
6);
b)“atividades principais + controlo regular e sistemático dos titulares + dos dados

em grande escala”;
Como interpretar “grande escala” (GT29, p. 8):

• Número de titulares de dados pessoais;
• O volume de dados e o âmbito dos vários tipos de dados tratados
• A duração ou continuidade do tratamento de dados
• A extensão geográfica do tratamento de dados Sandra Francisco
Daniel Francisco
2018
c) operações de tratamento em grande escala de categorias especiais de dados

(cf. artigos 9.º e 10.º do RGPD)
3. Quem tem de designar um DPO?
Apenas aplicando as regras do artigo 37.º/1, é possível determinar se é apenas o

responsável pelo tratamento, apenas o subcontratante ou ambos.
Mesmo quando apenas o subcontratante tenha de designar um DPO poderá ser

boa prática a designação de um DPO pelo responsável pelo tratamento
Sandra Francisco
Daniel Francisco
2018
4. DPO e grupos de instituições
a) Grupos Empresariais: possibilidade de nomear apenas um DPO (artigo

37.º/2 RGPD) mas sempre aconselhável fazer uma análise de bom governo
e compliance empresarial de proteção de dados para determinar a estrutura
ideal de proteção e o número necessário de DPO
b) Entidades Públicas: possibilidade de nomear apenas um DPO para um

conjunto de entidades públicas tendo em conta “estrutura organizacional e
dimensão” (artigo 37.º/3 RGPD)
Sandra Francisco
Daniel Francisco
2018
5. Funções do DPO
a) Funções legais mínimas (artigo 39.º/1 RGPD)

• Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem
como os trabalhadores que tratem os dados, a respeito das suas obrigações
nos termos do regulamento e de outras disposições de proteção de dados da
União ou dos Estados-Membros;
• Controla a conformidade com o regulamento, com outras disposições de

proteção de dados da União ou dos Estados-Membros e com as políticas do
responsável pelo tratamento ou do subcontratante relativas à proteção de
dados pessoais, incluindo a repartição de responsabilidades, a sensibilização
e formação do pessoal implicado nas operações de tratamento de dados, e as
auditorias correspondentes; Sandra Francisco
Daniel Francisco
2018
Funções legais mínimas (artigo 39.º/1 RGPD)
• Presta aconselhamento, quando tal lhe for solicitado, no que respeita à

avaliação de impacto sobre a proteção de dados e controla a sua realização
nos termos do artigo 35.º;
• Coopera com a autoridade de controlo - especialmente importante e um dos

traços justificativos da independência e autonomia do DPO;
• Ponto de contacto para a autoridade de controlo sobre questões relacionadas

com o tratamento, incluindo a consulta prévia a que se refere o artigo 36.º, e
consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.
Sandra Francisco
Daniel Francisco
2018
5. Funções do DPO
b) Em especial: a avaliação de impacto (artigo 35.º RGPD) e a consulta prévia

(artigo 36.º RGPD)
• Emissão de parecer de avaliação de impacto
(artigo 35.º/ 2) e aconselhamento ao responsável pelo tratamento ou
subcontratante neste domínio (GT29, p. 17)
• Cooperar com a autoridade de controlo no âmbito de uma consulta prévia
(artigo 36.º/2/d))
c) Outras funções:
em grupos empresariais: coordenar a política de proteção de dados nos vários
estabelecimentos e/ou coordenar-se com os demais DPO, caso existam.
Sandra Francisco
Daniel Francisco
2018
6. O perfil profissional do DPO
a) O perfil legal:
“O encarregado da proteção de dados é designado com base nas suas

qualidades profissionais e, em especial, nos seus conhecimentos
especializados no domínio do direito e das práticas de proteção de dados,
bem como na sua capacidade para desempenhar as funções referidas no
artigo 39.º [do RGPD]” (artigo 37.º/5 RGPD)
Sandra Francisco
Daniel Francisco
2018
b) O perfil em função de critérios respeitantes aos responsáveis pelo tratamento,

titulares e tipo de dados:
• O DPO deve adaptar-se à estrutura empresarial do responsável pelo tratamento

ou subcontratante, nomeadamente quanto à dimensão da estrutura empresaria
(PME vs. grandes grupos empresariais). Nesta medida, um DPO in-house ou um
DPO consultor não integrado devem ser considerados
• O DPO, quando o tratamento de dados diga respeito a um universo uniforme de

titulares, deve ter experiência e/ou formação respeitante às caraterísticas comuns
desse tipo de titulares
• O DPO, quando tratamento seja feito para um conjunto homogéneo de dados,

deve ter experiência e/ou formação específica quanto a esse tipo de dados.
Sandra Francisco
Daniel Francisco
2018
Perfil do DPO
c) Em especial: a importância da certificação do perfil profissional do DPO

como fator de criação de confiança junto de titulares de dados pessoais,
responsáveis por tratamento de dados e subcontratantes, bem como
autoridades de controlo (destaque para a proposta de perfil da APDPO)
Sandra Francisco
Daniel Francisco
2018
7. Posição funcional do DPO

a) O DPO pode ser uma pessoa singular, funcionário do responsável pelo
tratamento e/ou subcontratante ou pode ser uma pessoa singular ou uma
organização externas ao responsável pelo tratamento e/ou subcontratante
(artigo 37.º/6 RGPD).
b) Em qualquer um dos casos, o responsável pelo tratamento e/ou o
subcontratante devem garantir que o DPO está suficientemente integrado na
estrutura de tratamento de dados pessoais (artigo 38.º/1, 2 e 3 RGPD).
- É especialmente importante o desenvolvimento de um modelo de governo
de dados pessoais e de uma política de proteção de dados pessoais, que
assegure as relações do DPO com posições chave na estrutura do
responsável pelo tratamento e/ou subcontratante (cf. GT29, p. 13 e 14).
- O DPO deve responder e apresentar um relatório de atividade diretamente à
direção do responsável pelo tratamento e/ou subcontratante. Sandra Francisco
Daniel Francisco
2018
Posição funcional do DPO
c) O DPO é independente tecnicamente e não pode ser penalizado ou destituído

pelo exercício das suas funções (artigo 38.º/3 RGPD).
d) O DPO está obrigado a sigilo e confidencialidade (artigo 38.º/5 RGPD).
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados Posição funcional do DPO
Quais são as qualidades profissionais que o EPD deve ter?

O EPD deve ser designado com base nas suas qualidades profissionais e, em
especial, nos seus conhecimentos especializados no domínio das normas e
práticas de proteção de dados, bem como na sua capacidade para desempenhar
as respetivas funções.
O nível necessário de conhecimentos especializados deverá ser determinado em
função das operações de tratamento de dados realizadas e da proteção exigida
para os dados pessoais objeto de tratamento. Por exemplo, se a atividade de
tratamento de dados for particularmente complexa, ou se estiver em causa uma
grande quantidade de dados sensíveis, o EPD poderá necessitar de um nível de
competências e de apoio mais elevado.
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados Posição funcional do DPO
Quais são as qualidades profissionais que o EPD deve ter?

As competências e conhecimentos especializados pertinentes incluem:
• competências no domínio das normas e práticas de proteção de dados
nacionais e europeias, incluindo um conhecimento profundo do RGPD,
• conhecimento das operações de tratamento efetuadas,
• conhecimento das tecnologias da informação e da segurança dos dados,
• conhecimento do setor empresarial e da organização,
• capacidade para promover uma cultura de proteção de dados no seio da
organização.
Fonte: artigo 37.º, n.º 5, do RGPD
Sandra Francisco
Daniel Francisco
2018
8. Responsabilidade do DPO
O DPO não é responsável por violações de dados pessoais onde tenha

agido com a diligência necessária junto do responsável pelo tratamento
e/ou subcontratante.
Os responsáveis neste caso são estes últimos (artigo 24.º/1 RGPD).
Sandra Francisco
Daniel Francisco
2018
9. Conclusões: o impacto
a) Obrigatoriedade legal de designação de DPO em certas situações.
b) Determinação de um perfil profissional, que pode ser apreciado por

autoridades de controlo e pelo público em geral.
c) Formalização e ampliação de funções (gestão, aconselhamento,

monitorização, auditoria, reporte e formação).
d) Clarificação da posição legal face aos responsáveis pelo tratamento de dados

e subcontratantes, com a consequente exclusão de responsabilidade.
Sandra Francisco
Daniel Francisco
2018
9. Conceito e Tratamento de dados pessoais sensíveis, com especial
incidência no Regime Jurídico Especial de contexto Laboral:
O exemplo concreto da Gestão de trabalhadores e Processamento de
Remuneração
Linhas de ÉTICA
Sandra Francisco
Daniel Francisco
2018
9. Conceito e Tratamento de dados pessoais sensíveis, com especial
incidência no Regime Jurídico Especial de contexto Laboral:
O exemplo concreto da Gestão de trabalhadores e Processamento de

Remuneração
AUTORIZAÇÃO DE ISENÇÃO N.º 1/99

Processamento de Retribuições, Prestações, Abonos de Funcionários ou Empregados
https://www.cnpd.pt/bin/legal/isencoes/ise001-99.htm
Sandra Francisco
Daniel Francisco
2018
10. Novos direitos e novos deveres dos titulares de dados
Direitos dos Titulares de Dados Pessoais
O indivíduo é o dono dos, seus dados, nunca a entidade que os recolhe e

processa
Sandra Francisco
Daniel Francisco
2018
Novos direitos e novos deveres dos titulares de dados
No momento em que os seus dados são recolhidos, ou caso a recolha dos

dados não seja feita diretamente junto deste, logo que os dados sejam
tratados o titular, tem o direito de ser informado sobre:
A finalidade do tratamento e o prazo de conservação dos

dados
Quem é o responsável pelo tratamento dos dados
A quem podem ser comunicados/transmitidos os seus dados
Quais as condições em que pode aceder e retificar os seus

dados
Quais os dados que tem de fornecer obrigatoriamente e quais são

facultativos
Tem o direito de aceder aos dados que sejam registados sobre si:
Sem restrições
Sem demoras ou custos excessivos
Bem como saber quaisquer informações disponíveis sobre a origem desses

dados
Tem o direito de conhecer a finalidade para que os seus dados são tratados,
qual a lógica subjacente ao tratamento desses dados e a quem podem ser
comunicados.
O exercício do direito de acesso deve ser feito diretamente junto do

responsável pelo tratamento dos dados.
O direito de acesso a dados de saúde, incluindo os dados genéticos, é

exercido por intermédio de médico escolhido pelo titular dos dados.
Sandra Francisco
Daniel Francisco
2018
Direitos dos titulares de dados pessoais
Direito de retificação e eliminação
Tem o direito de exigir que os dados a seu respeito sejam exatos e atuais,
podendo solicitar a sua retificação
Tem o direito de exigir que os seus dados sejam eliminados dos ficheiros de
endereços utilizados para marketing
O exercício do direito de retificação e eliminação é exercido diretamente junto do

responsável pelo tratamento
O Novo Regulamento Geral da Proteção de Dados consagra no art.º 17, o

Direito a ser esquecido e ao apagamento de dados pessoais.
Sandra Francisco
Daniel Francisco
2018
Direito a ser esquecido e ao apagamento de dados pessoais
O direito a ser esquecido é definido pelo direito de as pessoas impedirem a

continuação do tratamento dos respetivos dados e de os mesmos serem
apagados quando deixarem de ser necessários para fins legítimos.
Assim, sempre que uma pessoa deixe de permitir o tratamento dos seus dados
e não haja razões legítimas para a sua conservação, os dados deverão
obrigatoriamente ser apagados.
Sandra Francisco
Daniel Francisco
2018
Direito de Oposição
Tem o direito de se opor, a seu pedido e gratuitamente, ao tratamento dos

seus dados pessoais para efeitos de marketing direto ou de qualquer outra
forma de prospeção.
Tem o direito de se opor a que os seus dados de cliente sejam utilizados

para efeitos de marketing da empresa.
Tem o direito de se opor a que os seus dados pessoais sejam

comunicados a terceiros, salvo disposição legal em contrário.
Tem o direito de se opor, nalguns casos previstos na lei, a que os seus

dados não sejam objeto de tratamento, por razões ponderosas e legítimas
relacionadas com a sua situação particular.
Sandra Francisco
Daniel Francisco
2018
Exercício
Informamos adequadamente as pessoas cujos dados registamos?
Quando recolhemos dados em formulários dizemos claramente como os dados

vão ser utilizados e por quanto tempo?
E nos nossos sites?
Sandra Francisco
Daniel Francisco
2018
Direito à portabilidade dos dados
Quando o tratamento de dados pessoais se realize por meios automatizados e

se basear no consentimento do titular dos dados ou na necessidade de
cumprimento de uma obrigação contratual, o titular tem o direito a:
a) Receber os seus dados pessoais que foram objeto de tratamento num

formato estruturado, de uso corrente e leitura automática
b) Transmitir esses dados a outro responsável por tratamento de dados, sem

que o primeiro responsável pelo tratamento de dados se possa opor
c) A disponibilização dos dados tem de ocorrer no prazo máximo de 1 mês e

caso o controller pretenda resistir ao pedido tem de explicar porquê por
escrito
Sandra Francisco
Daniel Francisco
2018
Direito à proteção de decisões automáticas
Direito a /não ser titular a uma decisão baseada apenas em processamento

automático, incluindo a criação de perfil
Se essa decisão produz efeitos jurídicos ou equivalentes
E onde a decisão é necessária para firmar ou executar um contrato
Ou a decisão decorre de uma autorização de uma lei da União ou de um

estado membro aplicável ao controller
Ou a decisão está baseada no consentimento explícito do titular dos dados

Existem restrições adicionais na criação de perfis com base em dados
sensíveis — apenas com consentimento ou com base em lei de um estado
membro e só se tiver interesse publico significativo
Sandra Francisco
Daniel Francisco
2018
11. A violação do RGPD
Possíveis consequências e o papel dos Reguladores
Necessidade de comunicação de inobservâncias e inconformidades
Accountability e auditorias
Sandra Francisco
Daniel Francisco
2018
A violação do RGPD
Possíveis consequências e o papel dos Reguladores
Quanto à autoridade de supervisão
. está definido o modelo para a entidade reguladora em Portugal, mas

Ainda não
é razoável assumir que irá nascer a partir da atual CNPD
Sandra Francisco
Daniel Francisco
2018
A violação do RGPD
O que é que constitui, então, uma violação da

privacidade e dos dados pessoais?
Violação de dados pessoais - Uma violação da segurança que provoque,

de modo acidental ou ilícito, a destruição, a perda, a alteração, a
divulgação ou o acesso, não autorizados, a dados pessoais transmitidos,
conservados ou sujeitos a qualquer outro tipo de tratamento
Sandra Francisco
Daniel Francisco
2018
Responsabilidade e penalidades no RGPD
Qualquer individuo passa a ter o direito de reclamar junto da entidade

reguladora
Uma pessoa que tiver sofrido danos materiais ou imateriais resultantes de uma
infração ao RGPD tem direito a ser indemnizada pelo controller e/ou processor
pelos danos sofridos
As coimas são atribuídas separadamente por cada regra infringida
As coimas administrativas máximas são o que for maior:
• Até 20 M€ ou
• 4% da faturação bruta em todo o mundo da entidade ou do grupo a que a
entidade pertence
Não está fechado o enquadramento do regime de coimas de entidades

publicas, mas a posição do legislador tem sido a de ser tão rigoroso para o
setor público como para o setor privado
Sandra Francisco
Daniel Francisco
2018
Exercício
Temos os mecanismos para responder aos direitos das
pessoas que registamos?
Se 100 pessoas nos perguntarem 'O que é que registam sobre mim e para
que o utilizam?' no dia 26 de Maio podemos responder?
A resposta é por serviço ou para a entidade?
Há algum tratamento que precise de consentimento?
Temos mecanismos de consentimento? E revogação do consentimento?
Sandra Francisco
Daniel Francisco
2018
O que é uma violação de dados pessoais para o RGPD ?
O RGPD (Regulamento Geral de Proteção de Dados) introduz em todas as

organizações o dever de reportar certos tipos de violação de dados à entidade
supervisora de cada país (art.º. 33) e aos indivíduos afetados (art.º 34) consoante
determinadas condições. Uma violação de dados consiste numa falha de
segurança que pode levar à destruição, perda, alteração, divulgação não
autorizada, ou acesso a dados pessoais. Isto significa que uma violação de dados
pessoais é mais do que perder apenas dados pessoais.
A autoridade supervisora só tem de ser notificada de uma violação de dados

pessoais se essa falha apresentar riscos para os direitos e liberdades dos
indivíduos (art.º. 33 /1) . Nomeadamente, provocar efeitos de detrimento como
descriminação, ameaça à reputação, perda financeira, perda de confidencialidade
ou qualquer outra desvantagem social ou económica significativa. Este processo
Sandra Francisco
tem de ser tratado caso a caso. Daniel Francisco
2018
O que é uma violação de dados pessoais para o RGPD ?
Como exemplo, a entidade supervisora terá de ser notificada de perda de dados

de clientes quando essa perda colocar indivíduos sob risco de roubo de
identidade.
Por outro lado, a perda ou alteração não adequada de uma lista de telefones de
empregados, por exemplo, não será normalmente motivo para notificação.
Quando a violação resultar num elevado risco para os direitos e liberdades dos
indivíduos, estes também terão de ser notificados diretamente.
Um ‘elevado risco’ significa que o risco para notificar os indivíduos é mais elevado
do que para notificar a autoridade supervisora.
Sandra Francisco
Daniel Francisco
2018
Que tipo de informação deve constar numa notificação de violação de dados
pessoais ?
1. A natureza da violação de dados pessoais.

2. As categorias e número aproximado de indivíduos afetados, se possível.
3. As categorias e número aproximado de registos de dados pessoais afetados,
se possível.
4. O nome e os detalhes de contacto do Encarregado e Proteção de Dados
(caso a organização tenha um) ou outros contactos que possam ser
utilizados para obter informação.
5. Uma descrição das prováveis consequências da violação de dados pessoais.
6. Uma descrição das medidas tomadas ou propostas para lidar com a violação
de dados pessoais, e se apropriado, as medidas para mitigar possíveis efeitos
adversos.
Sandra Francisco
Daniel Francisco
2018
Que tipo de informação deve constar numa notificação de violação de dados
pessoais ?
Uma violação de dados pessoais que tenha de ser notificada deverá ser reportada
à entidade supervisora num prazo de 72 horas após a organização ter tido
conhecimento da mesma.
No entanto, o RGPD permite que esta comunicação seja feita em fases

(devidamente justificado) tendo em conta que será muito provavelmente
impossível investigar uma violação de dados neste período de tempo. Se a
violação de dados for suficientemente séria para assegurar a sua divulgação
pública, a organização responsável deve fazê-lo sem qualquer demora. A falha no
cumprimento destes procedimentos significa a aplicação das multas que estão
Sandra Francisco
regulamentadas. Daniel Francisco
2018
Accountability e auditorias
Compliance
Como provar que está a cumprir o regulamento
Sandra Francisco
Daniel Francisco
2018
Requisitos de accountability
É obrigatória a constituição de um dossier com toda a documentação

necessária, relativos a cada uma das etapas, atualizando a documentação para
garantir a proteção de dados em continuidade, contendo:
• Regulamentos, processos e procedimentos internos

• O registo dos tratamentos (Controller) ou categorias de atividades de
tratamentos (Processor)
• Os dados pessoais recolhidos e prazos de retenção
• As PIA com decisões da Direção
• O enquadramento das transferências de dados para fora da UE (BCR,
autorizações, cláusulas contratuais tipo)
• Os modelos de recolha do consentimento
• A prova de que os titulares deram o seu consentimento
• A informação prestada
• Procedimentos e ferramentas existentes para o exercício dos direitos
• Regras de acesso, privilégios
• Registos de acessos
• Contratos com os Processors
• Procedimentos internos e política de comunicação em caso de Data breach
Sandra Francisco
Daniel Francisco
2018
Exemplo de estrutura de dossier RGPD
Regulamentação
• Leis orgânicas e leis habilitantes
• Regulamento de proteção de dados
• Regulamentos de gestão da privacidade
• Regulamento de desenvolvimentos e aquisição de sistemas de informação
• Decisões do Conselho
Tratamentos
Tratamento 1
• Descrição do processo
• Dados
• Sistemas, meios de acesso comunicações e armazenamento
• Bases legais, contratuais ou de consentimento
• Comunicação e interação com o titular dos dados
• Plano de acessos e permissões
• Plano de proteção de dados específico
• PIA
Sandra Francisco
Daniel Francisco
2018
 Tratamento 2
 Descrição do processo
Tratamento n
Proteção de dados global
 Regulamento de gestão de utilizadores, perfis e permissões
 Modelo de segurança e proteção de dados
 Plano de prevenção e ação a quebras na proteção da
privacidade
Relação com fornecedores
 Declarações de conformidade com RGPD de fornecedores
 Documentos de conformidade de produtos
 Produto 1
 Produto 2
 Produto n
Relação com processador
 Protocolo, responsabilidades
Sandra Francisco
Daniel Francisco
2018
 Documentação do processador
Sistemas, meios de acesso, comunicações e
armazenamento
Plano de proteção de dados especifico
Operação
 Registo de ocorrências relacionadas com proteção de
dados
Manuais de utilização de registos de ocorrências e
acessos
DPO
 Nomeações de DPO
 Pareceres
 Auditorias e inspeções
Gestão do arquivo RGPD
 Gestão de alterações
Estrutura e regras de utilização
Sandra Francisco
Daniel Francisco
2018
Auditorias sobre privacidade
A nova entidade reguladora e supervisora irá operar de forma independente
Já não é necessário pedir a aprovação de novos registos de dados pessoais

ao CNPD?
A Entidade fica responsável de, ao ser auditada, apresentar toda a

documentação necessária que:
• Documenta os dados e tratamentos

• Documenta que a entidade age de acordo com o RGPD
• Documenta que informa adequadamente e tem consentimento necessário
• Documenta a proteção da privacidade, no acesso, comunicação e
armazenamento
• Documenta a preparação perante o risco de quebras na proteção da
privacidade dos dados
Sandra Francisco
Daniel Francisco
2018
Auditorias
Se vier uma auditoria, como é que demonstramos o cumprimento com o

RGPD?
Temos alguma forma fácil de mostrar todas as políticas, processos,

procedimentos, decisões e logs, relacionados com os dados pessoais e a
sua proteção?
Sandra Francisco
Daniel Francisco
2018
Auditorias
Para cumprir o regulamento é necessário:
• Conhecer todos os tratamentos feitos e os respetivos dados pessoais
recolhidos (inclui papel)
• Garantir a existência da respetiva base legal completa — lei habilitante,
relação contratual ou consentimento
• Desenvolver regulamentos internos para a recolha, conservação e
tratamento de dados pessoais e políticas da proteção da privacidade
• Documentar as decisões do CD referentes ao balanço de cada tratamento
entre utilização de dados pessoais e impacto na privacidade dos sujeitos
registados e todas as outras decisões referentes ao cumprimento do RGPD
• Garantir a existência de meios informáticos de acesso dos sujeitos
registados à sua informação, à correção desses dados, à expressão do seu
consentimento e da revogação desse consentimento onde aplicável
• Garantir o cumprimento do RGPD pelos fornecedores de sistemas e
Sandra Francisco
produtos Daniel Francisco
2018
Para cumprir o regulamento é necessário:
• Garantir que há a comunicação adequada sempre que são recolhidos dados

pessoais (inclui formulários em papel)
• A comunicação tem de ser escrita de forma simples e entendível por todos, tem
de ser completa, não pode remeter para uma lei ou regulamento
• Documentar o modelo de gestão de acessos e o respetivo regulamento, que

define quem pode aceder a que dados de que pessoas e em que condições,
bem como garantir os meios técnicos para implementar o modelo e controlar a
sua aplicação em cada acesso a dados pessoais
• Garantir nos sistemas as medidas técnicas adequadas à proteção dos dados

pessoais, incluindo a encriptação no acesso, processamento e armazenamento
dos dados e a deteção e reporte de quebras de segurança
• Garantir a aplicação das regras definidas para o prazo de retenção de cada

conjunto de dados pessoais, incluindo a anonimização, arquivo, apagamento ou
outra medida definida, decidida, documentada e comunicada
Sandra Francisco
Daniel Francisco
2018
'The Day After'
Dia 26 de Maio de 2018, dia seguinte ao da aplicação do RGPD:
É possível que um número de cidadãos coloque a seguinte pergunta a qualquer

entidade 'Que dados pessoais meus têm e o que é que fazem com eles?' e que a
Entidade tenha de responder
A área jurídica, a área das TI e todos os responsáveis operacionais conhecem a

existência do RGPD, os seus princípios gerais e mais ou menos em que situações
que os afetam existem processos, procedimentos , decisões formais ou
considerações a tomar (um pouco como é o conhecimento das regras da
contratação pública)
Na área jurídica existe um ou mais juristas que conhecem bem o RGPD e a sua
aplicabilidade na entidade
Um responsável da área dos sistemas de informação têm uma responsabilidade

especial e transversal de pensar e seguir a proteção de dados e procedimentos
relacionados com o RGPD
Sandra Francisco
Daniel Francisco
2018
Aspetos práticos da implementação RGPD
Desafios:
Há sistemas que nunca vão estar prontos a tempo — e talvez nunca estejam
completamente em linha com o RGPD
Há produtos software construídos no espírito das últimas décadas em que há

problemas sérios mas onde o controlo não está nas mãos da entidade e os produtos
são fundamentais, no curto prazo, para o funcionamento da entidade
Sistemas em que o fornecedor acede aos dados durante trabalhos de manutenção

do software e reparação de problemas
Sistemas com middleware em que dados pessoas fluem sem encriptação nos
serviços, acessíveis aos técnicos que os mantém
Sistemas com uma única identidade de acesso à base de dados e gestão de

utilizadores na aplicação
Sandra Francisco
Daniel Francisco
2018
Aspetos práticos da implementação RGPD
Desafios:
Assim, há que olhar para o espírito do regulamento — na fase inicial é mais
importante
Ter uma primeira versão, com ambição, do dossier RGPD
Documentar o que se faz e vai fazer
Documentar o plano de transformação para resolver pontos fracos
Implementar vertentes chave dos direitos das pessoas registadas — informação,

consentimento, conhecimento
Se não é possível fechar tecnicamente o acesso a dados pessoais, então fechar

com processo — credenciação, registos de acessos, etc.
Obter compromissos escritos de cumprimento do RGPD por parte dos fornecedores

de software
Implementar regras para exigir que todos os novos desenvolvimentos cumpram o
RGPD
Sandra Francisco
Daniel Francisco
2018
Partilha de dados entre Entidades Públicas
1. Tal como o processamento dentro de uma Entidade Pública, a partilha
de dados entre entidades públicas tem de estar suportada por uma
base legal
2. Neste caso não é possível ter apenas um contrato entre entidades, sem
uma base legal fundamentada em legislação específica será necessário
obter o consentimento do titular dos dados

Transferências de dados para países terceiros
Verificação se o País é qualificado como adequado na lista da Comissão -

Caso contrário é proibido, sem proceder ao enquadramento por uma das
seguintes formas:
• BCR (Binding Corporate Rules)

• Cláusulas contratuais-tipo da Comissão
• EU-US Privacy Shield
• Autorização da autoridade nacional PD (para países não adequados)
OUTRAS MEDIDAS: Privacy Impact Assessement, Informação reforçada,

consentimento obrigatório, autorização prévia, etc., de acordo com uma análise
caso a caso
EXCEPÇÕES À PROIBIÇÃO DE TRANSFERÊNCIA DE DADOS PARA FORA DA
EU
Consentimento expresso do titular
Transferência é exigida por:
• Salvaguarda da vida da titular
• Salvaguarda do interesse público
• Respeita por obrigações que permitam
• exercer um direito perante a justiça
• A consulta, em condições normais, de um registo público que se destina a

informar o público e está aberto à consulta de quem possua um interesse legitimo
• A execução de um contrato entre o Controller e o titular dos dados
• O GT29 recomenda que às transferências em massa, repetitivas ou estruturais

de dados pessoais não possam ser aplicadas as exceções
• A interpretação dos casos excecionais é sempre restritiva
A União Europeia e o Privacy Shield
O Acordo entre a União e os Estados Unidos da América impõe às empresas

norte americanas normas para proteção dos dados pessoais dos cidadãos
Europeus.
Reflete-se nos requisitos estabelecidos pelo Tribunal de Justiça da União , o

qual invalidou as normas introduzidas pelo acordo "Safe-Harbor"
O Privacy Shield requer que os Estados Unidos monitorizem e reforcem a

cooperação com a União e com as entidades europeias de proteção de dados
pessoais.
Isto, inclui pela primeira vez o acesso à informação por parte das entidades
públicas da União
http://ec.europa.eu/justice/data-protection/document/citizens-guide_en.pdf
https://ec.europa.eu/info/str
ategy/justice-and-
fundamental-rights/data-
protection/data-transfers-
outside-eu_en
As responsabilidades para a Cloud decorrem das regras enumeradas e podem

resumir-se da seguinte forma:
Cloud interna — é apenas um modelo tecnológico distinto de operar sistemas e

dados, não tem impacto
Cloud empresarial própria, alojada em servidores providenciados por uma

entidade subcontratada — assumindo que a entidade
subcontratada não tem acesso aos dados, aquela terá apenas de demonstrar o
seguimento do regulamento para os dados dos utilizadores da própria entidade
Cloud pública — se o alojamento ocorrer no espaço europeu o operador terá de

demonstrar que cumpre as regras do RGPD, alojamento fora do espaço
europeu é desaconselhado
Privacy by Default e Privacy by design
Privacy by default (privacidade por defeito) — implica que as Entidades

devem assegurar que são colocados em prática, dentro da sua Organização,
mecanismos para garantir que, por defeito, apenas a quantidade necessária
de dados pessoais é recolhida, utilizada e conservada para cada tarefa,
tanto em termos da quantidade de dados recolhidos, como do tempo pelo
qual eles são mantidos (minimização, pseudo-anonimização e transparência)
Privacy by design (privacidade na conceção) — significa que a preocupação

do risco de privacidade deve estar presente em todo o processo de
conceção ou contratação de um novo produto, serviço ou projeto (por
exemplo na implementação de procedimentos adequados desde o início)
para garantir que o tratamento está em conformidade com o RGPD e
protege os direitos dos titulares dos dados em causa
Gestão das quebras de privacidade dos dados (severity assessements),
notificações e comunicações
Assim, para além de uma politica de gestão de risco que inclui as medidas e
responsáveis em caso de uma quebra ou suspeita de quebra na proteção dos
dados pessoais, há uma política específica para cada tratamento no respetivo
PIA
O RGPD define que quebras ou suspeitas de quebras de segurança:

• Têm de ser registadas
• Se sérias têm de ser comunicadas ao regulador no prazo de 72 horas após a
descoberta
• Os sujeitos registados alvo da quebra têm de ser notificados e
• A notificação deve incluir as medidas que a entidade tomou e o titular dos
dados deverá tomar para mitigar eventuais consequências
12. Metodologia de identificação e Definições de Dados Sensíveis :
Dados Pessoais, Genéticos, Biométricos, relativos à Saúde, Consentimento,

Tratamento de dados, Definição de Perfis, Anonimização e Pseudonimização
responsável
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Dados Sensíveis:
Dados Pessoais- O que temos atualmente
De acordo com a lei, consideram-se dados pessoais quaisquer informações

relativas a uma pessoa individual identificada ou identificável através das
mesmas (designadamente, «por referência a um número de identificação ou a
um ou mais elementos específicos da sua identidade física, fisiológica, psíquica,
económica, cultural ou social»).
A Constituição da República Portuguesa estabelece o princípio de que, salvo

casos excecionais definidos na lei (nos quais se inclui o consentimento do
próprio), é proibido o acesso a dados pessoais de outras pessoas.
Sandra Francisco
Daniel Francisco
2018
Quanto à recolha e outras formas de tratamento, apenas são admissíveis em

caso de consentimento ou se forem necessárias para uma das seguintes
finalidades:
— execução de contratos (por exemplo, comunicar o valor do rendimento anual
a uma entidade bancária para efeitos de obtenção de um empréstimo);
— cumprimento de obrigação legal (por exemplo, fornecer dados a autoridades

judiciárias no contexto de um processo penal);
— proteção de interesses vitais do titular dos dados, se este estiver física ou

legalmente incapaz de dar o seu consentimento;
— execução de uma missão de interesse público ou no exercício de autoridade

pública; Sandra Francisco
Daniel Francisco
2018
— prossecução de interesses legítimos (por exemplo, a comunicação de dados

constantes da ficha clínica de uma pessoa falecida aos seus familiares, para
que estes possam acionar eventuais responsáveis pela doença ou morte dela).
Existe um conjunto de dados particularmente sensíveis, referentes a convicções

filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e
origem étnica, que só podem ser objeto de tratamento em três situações:
mediante consentimento expresso do titular; autorização prevista por lei com
garantias de não discriminação; ou para fins de processamento de dados
estatísticos não individualmente identificáveis.
Sandra Francisco
Daniel Francisco
2018
Dados Pessoais- O que temos atualmente
Quanto à definição de dados sensíveis, tanto a Convenção 108 (artigo 6.º) como
a Diretiva de Proteção de Dados (artigo 8.º) identificam as seguintes categorias:
• dados pessoais que revelem a origem racial ou étnica;

• dados pessoais que revelem as opiniões políticas, as convicções religiosas ou
outras; e
• dados relativos à saúde e à vida sexual
Sandra Francisco
Daniel Francisco
2018
Dados Pessoais - O que vamos ter -
De acordo com o artigo 4º do regulamento, os dados pessoais são Informação

relativa a uma pessoa singular identificada ou identificável («titular dos
dados»); é considerada identificável uma pessoa singular que possa ser
identificada, direta ou indiretamente, em especial por referência a um
identificador, como por exemplo um nome, um número de identificação, dados
de localização, identificadores por via eletrónica (E-mail) ou a um ou mais
elementos específicos da identidade física, fisiológica, genética, mental,
económica, cultural ou social dessa pessoa singular.
Sandra Francisco
Daniel Francisco
2018

O teste decisivo para decidir se são dados pessoais para o RGPD ou não,
consiste em avaliar se esses dados podem ser usados direta ou indiretamente
para identificar uma pessoa. Enquanto o nome de uma pessoa identifica
obviamente a mesma, a verdade é que algumas combinações de identificadores
indiretos também permitem essa identificação.
Nomeadamente, foi feito um estudo nos Estados Unidos da América em que se

concluiu que a data de nascimento, código postal e sexo permitiam a identificação
de 87% dos americanos. Assim, torna-se evidente que os identificadores indiretos
têm de ter o mesmo nível de proteção que os indicadores diretos.
Sandra Francisco
Daniel Francisco
2018
DADOS SENSÍVEIS (ART.º 9.º)

Regra: Proibição do tratamento destes dados com exceções.
• A origem racial ou étnica;
• As opiniões políticas;
• A filiação sindical;
• Convicções religiosas ou filosóficas.
E ainda sujeito a cada Estado:

• Dados genéticos;
• Dados biométricos para identificar uma pessoa de forma inequívoca;
• Dados relativos à saúde
• Dados relativos à orientação sexual
Sandra Francisco
Daniel Francisco
2018
Exceções:
1. Consentimento explícito do titular
2. Tratamento necessário para efeito de cumprimento de obrigações e do
exercício de direitos específicos do responsável pelo tratamento ou do titular
dos dados em matéria de legislação laboral, de segurança social ex:
atribuição de pensões no âmbito da segurança social.
3. Quando esteja em causa a proteção de interesses vitais do titular (o titular
está incapacitado de prestar o consentimento).
E ainda:
• Dados genéticos;
• Dados biométricos para identificar uma pessoa de forma inequívoca;
• Dados relativos à saúde
• Dados relativos à orientação sexual Sandra Francisco
Daniel Francisco
2018

Tratamento efetuado, no âmbito das atividades legítimas e mediante garantias
adequadas por fundação, associação ou qualquer outro organismo sem fins lucrativos
e que prossiga fins políticos, filosóficos, religiosos ou sindicais mas apenas
relativamente a membros ou antigos membros ou pessoas que tenham mantido
contactos regulares relacionados com os seus objetivos;
E desde que os dados pessoais não sejam divulgados a terceiros sem o
consentimento dos titulares.
• Dados pessoais manifestamente tornados públicos pelo seu titular (não basta que o
titular comunique os seus dados).
• Tratamento necessário para fins de medicina preventiva ou do trabalho para aferir a
capacidade de trabalho do empregado, o diagnóstico médico, tratamentos de
saúde ou de ação social (tratamento efetuado com base no direito da U.E. ou por
força de contrato comum profissional de saúde sujeito à obrigação de sigilo
Sandra Francisco
profissional. Daniel Francisco
2018
12. Metodologia de identificação e Definições
do Responsável Dados Pessoais Genéticos,
Biométricos e de Saúde
Sandra Francisco
Daniel Francisco
2018
Dados Pessoais Genéticos
• Declaração Internacional sobre os Dados. Genéticos Humanos,

UNESCO
http://unesdoc.unesco.org/images/0013/001361/136112porb.pdf
• Parecer do GT 29
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp91_pt.pdf
Dados Pessoais Biométricos
Voltamos ao site da CNPD
Dados Pessoais relativos à Saúde

http://spms.min-saude.pt/wp-content/uploads/2017/03/Guia-Privacidade-
SMPS_RGPD_digital_20.03.172-v.2.pdf
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Tratamento de dados,
Artigo 4º
2) «Tratamento», uma operação ou um conjunto de operações efetuadas sobre
dados pessoais ou sobre conjuntos de dados pessoais, por meios
automatizados ou não automatizados, tais como a recolha, o registo, a
organização, a estruturação, a conservação, a adaptação ou alteração, a
recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou
qualquer outra forma de disponibilização, a comparação ou interconexão, a
limitação, o apagamento ou a destruição;
Artigo 6º
Licitude do tratamento- 1. O tratamento só é lícito se e na medida em
que se verifique pelo menos uma das seguintes situações: (…)
Isto é, só o que se encontra no RGPD e em legislação de cada País

É que define se o tratamento é licito ou não
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Tratamento de dados,
MEDIDASDE SEGURANÇA NO TRATAMENTO (ART.32.º E CONSIDERANDO 82)

•Dever de adotar medidas de segurança no tratamento, destacando, entre
outras (art.º 32.º, e Considerando 78):
• Pseudonimização ou Encriptação (cifragem dos dados);
• Sistemas de tratamento capazes de garantir a confidencialidade,
integridade, disponibilidade resiliência permanentes dos sistemas
MEDIDAS DE SEGURANÇA NO TRATAMENTO

• Capacidade de restabelecer a disponibilidade e o acesso aos dados de forma
atempada no caso de um incidente físico ou técnico
• Processo para testar, apreciar e avaliar a eficácia das medidas de segurança
• Adequar o nível de segurança aos riscos de destruição, perda ou divulgação
não autorizada
• Códigos de conduta ou certificação Sandra Francisco
Daniel Francisco
2018
A QUEM SE APLICA?
• Obrigações de caráter geral aplicáveis a todos os responsáveis e
subcontratantes.
• Será conveniente a adesão a códigos de conduta aprovados e certificações
aprovadas.
• O Considerando 77 prevê que o Comité Europeu poderá emitir orientações
sobre operações de tratamentos de dados que não sejam suscetíveis de
resultar num elevado risco.
CÓDIGOS DE CONDUTA (ART. 40.º)
• Elabora dos por associações representativos de setores de atividade
• Projeto apresentado à autoridade de controlo, parecer, aprovação, registo e
publicidade pela autoridade de controlo.
• Supervisão obrigatória pelo organismo acreditado pela autoridade de controlo
• Supervisão da autoridade de controlo Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Perfis
DECISÕES AUTOMATIZADAS, INCLUINDODEFINIÇÃO DE PERFIS Artigo 22.º

Considerando 71
• Os Titulares têm o direito a não serem materialmente avaliados com base
unicamente num processamento automatizado dos seus dados pessoais,
quando essa decisão automatizada, incluindo profiling (criação de perifis de
identificação de consumos ou tendências):
• Produza efeitos na sua esfera jurídica, ou que o afete significativamente de
forma similar.
Exceções:
1. O Tratamento de Dados seja necessário para celebração de contrato entre o
responsável e o titular;
2. Essas decisões seja m autorizadas pelo Direito da EU ou EM a que o
responsável esteja sujeito, salvaguardados os direitos, liberdades e
interesses legítimo dos titulares;
3. Haja consentimento do titular.
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Perfis
DECISÕES AUTOMATIZADAS, INCLUINDO DEFINIÇÃO DE PERFIS
Nos casos de exceção, o responsável tem de assegurar o direito do titular a

intervenção humana, a manifestar o seu ponto de vista e a contestar a decisão.
Só poderá haver decisões automatizadas baseadas em dados sensíveis quando

haja consentimento explícito do titular ou o tratamento seja necessário por
motivo de interesse público importante previsto no Direito da EU ou de EM,
desde que aplicadas medidas para salvaguardar os direitos e liberdades e
interesses legítimos do titular.
A cessação do tratamento é gratuita, mas o responsável pode cobrar taxa em

casos específicos (art.º 12.º, n.º 5).
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Anonimização e
Pseudonimização
Dados Anonimizados Os dados consideram-se anonimizados se todos os

elementos de identificação tiverem sido eliminados de um conjunto de dados
pessoais. Não pode ser deixado nas informações nenhum elemento que possa
servir, exercendo um esforço razoável, para reidentificar a(s) pessoa(s) em
questão.68 Quando os dados são eficazmente anonimizados, deixam de ser
dados pessoais.
Se os dados pessoais deixarem de servir a sua finalidade inicial, a Diretiva de

Proteção de Dados e a Convenção 108 permitem que estes sejam conservados
sem anonimização para fins históricos, estatísticos ou científicos, desde que
sejam aplicadas garantias adequadas contra a sua utilização abusiva.
Sandra Francisco
Daniel Francisco
2018
Pseudonimização
Dados Anonimizados
• Não é possível associar os dados a um titular específico.
• Os dados originais foram objeto de injeção de “ruído” e/ou permutados
Ou
• Os dados foram agregados de forma tão uniforme quanto possível, criando
grupos*
Sandra Francisco
Daniel Francisco
2018
Pseudonimização
Dados pseudonimizados- As informações pessoais contêm elementos de

identificação, tais como o nome, a data de nascimento, o sexo e a morada.
Quando as informações pessoais são pseudonimizadas, os elementos de
identificação são substituídos por um pseudónimo. A pseudonimização é
realizada, por exemplo, através da encriptação dos elementos de identificação
constantes dos dados pessoais.
São utilizados dados pessoais com elementos de identificação encriptados em

muitos contextos como forma de manter secreta a identidade das pessoas. É
uma técnica particularmente útil quando os responsáveis pelo tratamento
necessitam de se certificar de que estão a lidar com as mesmas pessoas em
causa, mas não precisam, nem devem, conhecer a verdadeira identidade
dessas pessoas. Sandra Francisco
Daniel Francisco
2018
Pseudonimização
Nos Dados pseudonimizados, existe a possibilidade, ainda que remota, em

certas situações, de reversão do processo de pseudonimização ou de inferência
da identidade do titular a partir das informações suplementares.
Técnica Razão porque não é considerada uma

técnica de anonimização
Codificação (aplicação de um ID e É possível recriar a associação aos
extração dos dados de identificação dados originais a partir da tabela de
para outro repositório) mapeamento
Encriptação de dados Pode ser revertida aplicando-se a
respetiva chave de cifragem
Funções de hash ou salted hash Os resultados podem ser inferidos se os
(funções de dispersão) dados originais forem conhecidos ou
forem possíveis de deduzir
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de:
Dados pseudonimizados - Exemplo
Os utilizadores que acedam a estes dados pseudonimizados não terão geralmente

capacidade para identificar «Charles Spencer, nascido em 3 de abril de 1967» a partir
de «324» ou «YESz3201». Por conseguinte, os dados pseudonimizados estão mais
protegidos contra utilizações abusivas.
Porém, no primeiro exemplo, a proteção é menor. Se a frase «C.S. 1967 tem quatro
filhos: dois rapazes e duas raparigas» for utilizada na pequena aldeia onde vive
Charles Spencer, este poderá ser facilmente reconhecido. O método de
Sandra Francisco
pseudonimização afeta a eficácia da proteção de dados Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias partes do
Regulamento Geral de Proteção de Dados (RGPD)
Implementação
Implementar o RGPD é em tudo semelhante à implementação de um sistema de
qualidade baseado em qualquer norma ISO. A mais conhecida é a ISO 9001,
mas existem outras, entre as quais surge a ISO 27001 que tem muitos requisitos
diretamente aplicáveis ao RGPD. Em termos gerais, uma empresa que já
detenha uma certificação ISO 27001 tem 70% da implementação do RGPD
feita.
A ISO 27001 é a framework por excelência na proteção da informação e sendo

os Dados Pessoais considerados informação crítica para o RGPD faz todo o
sentido conjugar os 114 controlos da norma com os 99 artigos e as 173
considerações do regulamento.
Sandra Francisco
Daniel Francisco
2018
Assim que primeiro de tudo convém averiguar se o organismo tem a
certificação ISO27001.
Sim?
Contactar a pessoa responsável pela certificação e pelo seu controlo.
Adicionar ao grupo de trabalho e trabalhar a partir dos matérias desenvolvidos
para a certificação, em especial os planos de risco e de contingência.
Não?
Criar um plano de implementação de RGPD de raiz
Sandra Francisco
Daniel Francisco
2018
Sandra Francisco
Daniel Francisco
2018
Questionário de diagnóstico para identificar a necessidade aplicar o RPGD
As principais operações comerciais ou de atividade, envolvem a monitorazação regular e sistemático de

pessoas em grande escala? Os dados que possuímos sobre as pessoas permitem, ou podem permitir,
identificar ou realizar a identificação da pessoa?
A organização tem uma política de proteção de dados que orienta os funcionários e colaboradores em como
manter os dados pessoais seguros?
Os laptops (portáteis) e outros dispositivos móveis onde transmite informações da sua empresa são
encriptados?
Armazena dados pessoais na (Cloud) nuvem? Isso pode incluir dados do cliente em aplicações ou sites tais
como salesforce.com, Dropbox, etc….
Os dados pessoais enviados por e-mail, são encriptados?
Existem dados pessoais em meios removíveis, e. Dispositivos USB, CDs, DVD, etc.?
Existem processos ou canais já formalizados e documentados para a gestão de dados? Está estabelecido
quem responde ou é responsável de responder, caso haja um pedido de informação de dados? Sandra Francisco
Daniel Francisco
2018
Exemplo de planificação inicial para a implementação do RGPG
A implementação do RGPD é
um projeto e por conseguinte
deve ser estruturados e gerido
com uma metodologia de
gestão de projetos
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias
partes do Regulamento Geral de Proteção de Dados (RGPD)
https://www.cnpd.pt/bin/rgpd/10_
Medidas_para_preparar_RGPD_
CNPD.pdf
Sandra Francisco
Daniel Francisco
2018
Tabelas RACI
[R] – Responsável pela
Execução
[A] – Aprovação,
Autorização e Responsável
para o Nível Hierárquico
Superior
[C] – Consultado
[I] – Informado
Sandra Francisco
Daniel Francisco
2018
Exemplo de um plano com detalhe para a implementação do RGPG

(1/6)
• Preparação do programa
• Criação das equipas RGPD - central e por entidade Planeamento e
preparação das equipas de projeto (entidade e central)
• Preparação e lançamento de eventuais procedimentos de contratação
• Avaliação da situação presente de compatibilidade RGPD
• Avaliação das bases legais e contratuais de tratamento
• Avaliação de políticas, regulamentos, procedimentos e processos de
gestão de dados pessoas existentes
Sandra Francisco
Daniel Francisco
2018

(2/6)
• Levantamento de tratamentos e dados pessoais processados
• Reavaliação dos dados pessoais capturados. por sistema e tratamento
e reconciliação com a respetiva base legal
• Avaliação, por sistema, dos mecanismos de consentimento,
transparência, atualização. correção, esquecimento, arquivo e
anonimização e especificação de alterações
• Avaliação, por sistema, dos mecanismos de segurança nos interfaces,
comunicações e armazenamento de dados

Sandra Francisco
Daniel Francisco
2018

(3/6)
• Avaliação dos perfis e permissões atuais ativos
• Definição do perfil de DPO/EPD e do modelo de organização
• Reavaliação dos dados pessoais capturados. por sistema e tratamento e
reconciliação com a respetiva base legal
• Avaliação do modelo de gestão de perfis e permissões
• Especificação de requisitos standard para novos desenvolvimentos em
sistemas de informação e prova do cumprimento das regras pelos fornecedores
externos
Sandra Francisco
Daniel Francisco
2018

(4/6)
• Implementação medidas de compatibilidade RGPD
• Preparação do regulamento interno de gestão e proteção de dados
• Preparação de um ou mais princípios de privacidade
• Preparação do PIA (Privacy Impact assessment), textos de
consentimento e conteúdos informativos por grupo e tratamento de
dados
• Preparação do regulamento de gestão de identidades
• Aplicação de atualizações e limpeza de perfis e permissões
Sandra Francisco
Daniel Francisco
2018

(5/6)
• Desenho de processos de atendimento, informação, alteração, apagamento
de titulares de dados
• Implementação de alterações na arquitetura TI
• Implementação de alterações aos sistemas
• Implementação de alterações aos sistemas
• Testes e formação nos novos sistemas
• Criação ou identificação dos canais de comunicação com o DPO/EPD
• Preenchimento da posição de DPO/EPD Sandra Francisco

Daniel Francisco
2018

(6/6)
• Arranque operação compatível RGPD
• Formação RGPD
• Kick-off entidade
• Formação para a Organização e para os Perfis
• Ferramentas de controlo
• Avaliação de impactos e de conformidade
• Melhoria continua
Sandra Francisco
Daniel Francisco
2018
Construção de um PIA ("privacy impact assessment“) –Avaliação de

impacto sobre a proteção de dados (AIPD)
Antes do início de qualquer operação de tratamento de dados, e sempre que a
mesma seja considerada de risco, os organismos devem realizar uma avaliação
de impacto de tais operações sobre a proteção de dados pessoais ("privacy
impact assessment" —"PIA") - Artº. 35
O PIA (AIPD) permite:

• Construir um tratamento de dados personalizado, respeitador dos direitos da
vida privada
• Analisar os impactos sobre a vida privada dos titulares
Sandra Francisco
Daniel Francisco
2018
Sandra Francisco
Daniel Francisco
2018
AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS (PIA)

Obrigação de o Responsável pelo tratamento ou o Subcontratanter e realizar,
antes do tratamento, uma avaliação de impacto relativamente aos tratamentos que
impliquem um alto risco para os direitos e liberdades dos titulares (art.35.º,
n.ºs1e3 e Considerando 75):
• Avaliação sistemática de aspetos pessoais (profiling) que provocam
decisões automatizadas que afetam o titular dos dados;
• Operações de tratamento em larga escala de dados especiais;
• Controlo sistemático de zonas acessíveis ao público.
Quando a avaliação de impacto para a proteção de dados indicar que a realização

do tratamento implica um alto risco, o responsável pelo tratamento deve proceder
à consulta prévia da autoridade de controlo (art.36.º, n.º3, e Considerando 84).
Sandra Francisco
Daniel Francisco
2018
A Autoridade de Controlo, caso entenda que o tratamento viola o RGPD, deve

pronunciar-se no prazo de 8 semanas a contar do pedido do responsável. Prazo
prorrogável até 6semanas. (art.35.º, n.º2).
A Autoridade de controlo deve elaborar e tornar pública uma lista dos tipos de
operações de tratamento sujeitos ao requisito de avaliação de impacto para a
proteção de dados (art.35.º, n.º4).
A autoridade de controlo deve elabora r e publicitar uma lista dos tratamentos

que não estão sujeitos a avaliação de impacto (e comunicá-la ao Comité); se
os tratamentos abrangerem vários Estados-Membros, a autoridade e de controlo
tem de aplicar previamente o “procedimento de controlo da coerência”
Sandra Francisco
Daniel Francisco
2018
A figura seguinte ilustra os princípios básicos relacionados com a AIPD no RGPD:
Sandra Francisco
Daniel Francisco
2018
A figura seguinte ilustra o processo interativo genérico para a realização de uma AIPD:
Nota: Importa
sublinhar que o
processo descrito
nesta figura é
interativo: na
prática, é provável
que cada uma das
etapas seja
revisitada várias
vezes antes de a
AIPD poder ser
concluída.
Sandra Francisco
Daniel Francisco
2018
Sandra Francisco
Daniel Francisco
2018
Exercício PIA (AIPD)
Sandra Francisco
Daniel Francisco
2018
Construção de um Questionário de dados e

infraestrutura a proteger
Sandra Francisco
Daniel Francisco
2018
Preparar os Canais de Atendimento
Atualize os procedimentos de atendimento a clientes, preparando os canais de

atendimento para lidar com os pedidos relacionados com privacidade.
Deve sempre existir :
Um processo de resposta de pedido de informação sobre dados pessoais
Um canal de comunicação definido para a resposta com o responsável (pessoa,

seção, divisão, departamento, etc) perfeitamente identificado
Preparar os Canais de Atendimento

Atualize os procedimentos de atendimento a clientes, preparando os canais de
atendimento para lidar com os pedidos relacionados com privacidade.
Sandra Francisco
Daniel Francisco
2018
Sandra Francisco
Daniel Francisco
2018
1. Os Organismos devem assegurar os recursos e atribuir as responsabilidades

necessárias que sejam relevantes para a execução do Regulamento Geral de
Proteção de Dados e manter políticas, procedimentos, instruções e notas de
privacidade apropriadas às necessidades e expetativas das partes interessadas que
incluam os requisitos legais aplicáveis e garantam a privacidade dos Dados
Pessoais.
A nomeação do encarregado de proteção de dados (DPO), a elaboração da Política

de Tratamento de Dados Pessoais, a criação de procedimentos que garantam a
qualidade dos Dados Pessoais, a composição de comunicados de privacidade e a
preparação de procedimentos de resposta aos pedidos dos Titulares do Dados estão
entre as tarefas a serem realizadas durante a primeira fase.
2. Classificação, Mecanismos de Transferência e Inventário dos Dados Pessoais
Identificação, classificação e registo dos Dados Pessoais da organização garantindo

a sua proteção, confidencialidade, integridade e disponibilidade.
Garantir um nível legal adequado à transferência de Dados Pessoais para países

Sandra Francisco
terceiros. Daniel Francisco
2018
3. Consciencialização
As partes interessadas devem estar cientes e sensibilizadas da sua contribuição
para a eficácia da política de tratamento de Dados Pessoais e das implicações da
não conformidade com os requisitos do Regulamento Geral de Proteção de Dados.
As questões relacionadas com a privacidade dos Dados Pessoais devem ser
incorporadas na sensibilização e formação de todas as equipas da organização com
especial enfâse na dos recursos humanos, conformidade, suporte presencial e
remoto, informática interna, centro de atendimento, marketing e vendas.
4. Avaliação e Tratamento do Risco de Segurança da Informação na Organização e

na Relação com Partes Terceiras
Avaliar e implementar um plano de tratamento de riscos de segurança da informação
e assegurar a proteção dos Dados Pessoais que estão acessíveis a parceiros,
fornecedores, prestadores de serviço e outras entidades externas. As alterações
devem ser controladas e ações corretivas implementadas sempre que necessário.
5. Ciclo de Vida Operacional

Assegurar a proteção dos Dados Pessoais desde a conceção e por defeito em todos
os processos, sistemas e plataformas organizacionais e realizar avaliações de
impacto sobre a proteção de dados. Sandra Francisco
Daniel Francisco
2018
6. Gestão de incidentes de Dados Pessoais

Assegurar uma abordagem consistente e eficaz à gestão de incidentes e violações
de Dados Pessoais. Devem ser estabelecidos procedimentos e responsabilidades
para assegurar uma classificação e resposta eficazes aos incidentes de segurança.
7. Monitorização de Desempenho e Eficácia da aplicação do Regulamento

A organização deve conduzir auditorias internas assim como medir, avaliar e rever
em intervalos planeados a adequabilidade do processo de tratamento de Dados
Pessoais, bem como manter documentação que seja apropriada como evidência de
todo o processo.
8. Conformidade
Acompanhar novos requisitos de conformidade, expetativas e melhores práticas e
evitar violações de obrigações legais, estatutárias, regulamentares ou contratuais
relacionadas com a privacidade dos Dados Pessoais.
Caso não disponha de recursos internos deve-se apoiar num parceiro que o possa
acompanhar ao longo de todo o processo estratégico de implementação, eliminando
o risco de incumprimento normativo de eventuais coimas pela respetiva autoridade
de controlo e sobretudo, eliminando o risco de ocorrência de algum tipo de incidente
sobre Dados Pessoais geridos na organização. Sandra Francisco
Daniel Francisco
2018
.
Análise de case studies e resolução

de casos práticos, em grupos
multidisciplinares
Sandra Francisco
Daniel Francisco
2018
Dados nas Escolas
Sandra Francisco
Daniel Francisco
2018
Dados nas Escolas
Na Deliberação n.º 1495/2016, de 6 de Setembro, a CNPD definiu orientações
precisas às escolas sobre os limites legais para o tratamento de dados pessoais,
na vertente da sua difusão através da Internet, bem como sobre os procedimentos
que devem adotar com vista a aumentar a segurança da informação e a minimizar
os riscos de utilização abusiva dos dados pessoais.
“A utilização generalizada da Internet pelos estabelecimentos de ensino, com destaque
para a criação de sítios (websites) próprios veio contribuir inevitavelmente para uma
aproximação da escola à sociedade, através de uma maior exposição das suas
atividades, bem como permitindo o contacto direto, célere, económico e eficiente de
alunos, encarregados de educação e pessoal docente e não docente.
No entanto, a rápida adesão a estes meios tecnológicos não foi, em geral,

acompanhada pelo estabelecimento de critérios rigorosos que enquadrassem a
disponibilização de informação pessoal na Internet, de modo a acautelar a defesa
dos direitos das crianças, designadamente o direito à proteção de dados pessoais
Sandra Francisco
e à privacidade” Daniel Francisco
2018
Dados nas Escolas
Fotografias dos Alunos

A CNPD refere que a publicação de imagens dos alunos “suscita as maiores
reservas” e que a “sua publicação na Internet, por iniciativa das escolas, cria um
universo de oportunidade para reproduzir e adulterar os dados, fomentando a sua
reutilização para outras finalidades que não são sequer à partida imagináveis”.
“Não é possível controlar a forma como cada um dos utilizadores pode vir a fazer do
uso das imagens, inclusivamente manipulando-as ou reproduzindo-as em redes
sociais e divulgando informação não só sobre si e sobre o seu educando, mas também
sobre as restantes crianças”
No âmbito das fotografias dos alunos em atividades escolares, a Comissão realça

que as escolas têm “um dever de abstenção” de as publicarem na Internet, “ainda
que para o efeito exista consentimento dos pais ou encarregados de educação”,
não devendo estas permitir a identificação dos alunos Sandra Francisco
Daniel Francisco
2018
Dados nas Escolas
Fotografias dos Alunos
A comissão não admite sequer remeter estes conteúdos para uma área
reservada dos sites, acessível só a utilizadores com palavra-passe, uma
solução que a comissão defende no caso das pautas de avaliação e nas
listas de alunos matriculados.
“Não é possível controlar a forma como cada um dos utilizadores pode vir a
fazer do uso das imagens, inclusivamente manipulando-as ou reproduzindo-as
em redes sociais e divulgando informação não só sobre si e sobre o seu
educando, mas também sobre as restantes crianças”
Sandra Francisco
Daniel Francisco
2018
Dados nas Escolas
Avaliações/Pautas
No que diz respeito às pautas de avaliação, a CNPD considera que estas
não devem ser publicadas em “sites abertos” e no caso de existirem já
publicadas estas devem ser retiradas.
“…as classificações devem ser eliminadas do sítio com eficácia, isto é, não
apenas “escondidas”, mas efetivamente apagadas, não podendo nunca
exceder o prazo máximo do final do ano letivo em causa”
No entanto essa informação pode, estar disponível sem zona protegidas

com mecanismos de autenticação fortes.
“Todavia, admite-se que esta informação possa estar acessível em área

reservada, em prol de uma comunicação mais eficaz, desde que respeitados os
requisitos de segurança atrás enunciados, que implicam designadamente um
controlo rigoroso de utilizadores registados e mecanismos fortes de
Sandra Francisco
Daniel Francisco
autenticação. 2018
Dados nas Escolas
Listas de alunos matriculados
No que diz respeito às listas de alunos matriculados a CNPD refere que
também devem ser apenas publicadas em áreas reservadas dos sites e
não devem conter “mais informação do que a necessária”.
As pautas só são afixadas no interior das escolas “por um curto período de

tempo”, sustenta que a regra deve ser igualmente seguida na Internet. “As
classificações devem ser eliminadas do sítio com eficácia, isto é, não
apenas ‘escondidas’, mas efetivamente apagadas, não podendo nunca
exceder o prazo máximo do final do ano letivo em causa.“
A CNPD alerta ainda para os perigos da informação dispersa, que apesar de não ter
o nome dos alunos, pode ser cruzada com outros dados permitindo, por exemplo,
perceber qual é o horário de uma determinada criança.
Sandra Francisco
Daniel Francisco
2018
Sandra Francisco
Daniel Francisco
2018
Referências Bibliográficas
Legística - Perspetivas Sobre a Conceção e Redação de Atos Normativos,
Vários, Almedina, 2002
Manual de Legística, Critérios científicos e técnicos para legislar melhor

de Carlos Blanco de Morais, Verbo, 2007
Artigo "Programas de Better Regulation em Portugal: O SIMPLEGIS (em co-

autoria com Diana Ettner), Tiago Silveira, publicado na E-pública: Revista
Eletrónica de Direito Público n.º 1 (janeiro de 2014).
Estudo Feitura das Leis: Portugal e a Europa, publicado pela Fundação

Francisco Manuel dos Santos, estudo coordenado por João Caupers, Marta
Tavares de Almeida e Pierre Guibentif Disponível online.
https://www.cnpd.pt/
Sandra Francisco
Daniel Francisco
2018
Regulamento Pessoal de Proteção de
Dados - RGPD
Continuação de bom trabalho!!!
sandrafranc@hotmail.com
danielfrancisc@gmail.com
Sandra Francisco
Daniel Francisco
2018
Bem Hajam!
Sandra Francisco
Daniel Francisco
2018

SLIDES RGPD 2018 - 02 - 01 - Daniel - Leiria

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

SLIDES RGPD 2018 - 02 - 01 - Daniel - Leiria

Enviado por

Direitos autorais:

Formatos disponíveis

IMPLEMENTAÇÃO DO NOVO

Conhecer e identificar o enquadramento legal de proteção de dados

1.1. Enquadramento legal de acordo com o RGPD e sentido da evolução

1.2. Conceitos‐chave sobre PD e princípios enformadores

1.3. Atores, respetivo papel e responsabilidades

1.4. Direitos dos titulares dos dados

1.5. O tratamento de dados sensíveis

1.6. Data security e data protection

1.7. Transferências de dados para países terceiros

1.8. A autoridade de supervisão

2.1. Aspetos práticos gerais do RGPD

2.1.1. O histórico e o futuro: identificação, qualificação e parametrização dos

2.1.2. Fundamentos para o tratamento de dados pelas entidades públicas e a

2.1.4. O papel do Encarregado de Proteção de Dados (DPO) e a interação com a

2.1.5. Privacy Impact Assessement

2.1.6. Definição das alterações necessárias para garantia de conformidade:

2.2.1. Proteção de dados by design e by default

2.2.2. Gestão da segurança de dados (Data security management)

2.2.3. Anonimização e pseudonimização

2.2.5. Gestão de identidades, gestão de acessos, arquivo digital e data

2.2.6. Responsabilidade do controller e do processor

2.2.7. As questões de dados na cloud

2.2.8. Gestão das quebras de privacidade dos dados (severity

2.3.1. Como assegurar a conformidade das transferências de dados para

2.3.2. As decisões de adequação, o EU‐U.S. Privacy Shield e as Cláusulas

2.3.3. Derrogações e exceções, incluindo o consentimento do titular dos

2.4. Prova de compliance

2.4.1. Requisitos de accountability

2.4.2. Necessidade de organização de políticas e de procedimentos

2.4.3. A exigência de um dossier de prova documental

2.4.4. Auditorias sobre privacidade

2.4.5. Supervisão, ações de enforcement e sanções

3. Análise de case studies e resolução de casos práticos, em grupos

O novo Regulamento Geral de Proteção de Dados (RGPD ou, em Inglês,

Nessa data, todas as entidades da UE, públicas e privadas, têm de operar no

É responsabilidade de cada organismo público a sua própria implementação

O presidente do organismo é o responsável pela proteção dos dados pessoais.

1. Sei quais os dados que trato e o objetivo com que o faço?

2. Tenho base legal para todos os tratamentos que realizo?

3. Recolho apenas os dados pessoais de que necessito e pelo tempo de

4. Criei os mecanismos para assegurar os direitos das pessoas cujos dados

5. Informamos adequadamente as pessoas cujos dados tratamos?

6. Os dados pessoais que guardamos e processamos estão adequadamente

7. Numa auditoria, como demonstramos o cumprimento com o

De onde surge a preocupação com a proteção de dados pessoais?

A resposta imediata é que esta advém da consagração legal dos Direitos

1948 - Com a DUDH (Declaração Universal dos Direitos do Homem), no seu

1950- A Comunidade Europeia do Carvão e do Aço (CECA) aprovou a

Art.º 72 - Respeito pela vida privada e familiar

Art.º 82 - Proteção de dados pessoais

1. Todas as pessoas têm direito à proteção dos dados de caráter pessoal

2. Esses dados devem ser objeto de um tratamento leal, para fins

3. O cumprimento destas regras fica titular a fiscalização por parte de uma

1970 — Surge a primeira Lei de proteção de dados pessoais do mundo, no

1980 — A OCDE (Organização para a Cooperação e Desenvolvimento

Estas representaram um consenso internacional sobre a recolha e gestão da

1995 — O Conselho da União Europeia aprovou a Diretiva 95/46/CE relativa à

Visa tornar equivalente em todos os Estados-Membros o nível de proteção dos

2009 — O Tratado sobre o Funcionamento da União Europeia, estabelece no

O Parlamento Europeu e o Conselho, deliberando de acordo com o processo

Presentemente, a União Europeia estabeleceu como meta mais urgente, a

Os Três princípios da atuação do Mercado Único Digital :

Melhor acesso dos consumidores e das empresas aos bens