Escolar Documentos
Profissional Documentos
Cultura Documentos
REGULAMENTO DE PROTEÇÃO DE
DADOS NA ADMINISTRAÇÃO PÚBLICA
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
Objetivos Específicos
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
AGENDA
1. Fundamentos sobre proteção de dados e privacidade
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
AGENDA
2. Organizar e implementar na prática um quadro de conformidade (compliance) com o
RGPD
2.1.3. Os direitos dos titulares dos dados e mecanismos para lidar com eles
AGENDA
2.2. Aspetos práticos, de natureza técnica, do RGPD
2.2.4. Cifragem
AGENDA
2.3. Transferência de dados
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
AGENDA
Sandra Francisco
Daniel Francisco
2018
1. Enquadramento geral e impacto do Regulamento Geral de Proteção de
Dados (RGPD)
Sandra Francisco
Daniel Francisco
2018
Para começar: 7 perguntas chave a responder
Fonte: Acórdão de 24 de novembro de 2011 (Associación Nacional de Establecimientos Financeiros de Crédito — ASNEF e Federación de
Comercio Electrónico y Marketing Directo — FECEMD vs Administración del Estad).
Evolução
• Aparecimento da internet
• Serviços e comércio online
• Redes sociais
• Marketing digital e big data
• Localização
• Capacidades de processamento e armazenamento digital, a Cloud
• Era necessário devolver ao indivíduo o poder sobre os seus dados
• Era necessário simplificar o enquadramento regulamentar para bem das
empresas
• Era necessário uniformizar as regras no espaço europeu
Assim:
O Novo Regulamento Geral sobre a Proteção de Dados Pessoais, deriva da
necessidade de compilar numa só fonte legal, diretrizes concernes à
proteção das pessoas singulares no tratamento de dados pessoais e livre
circulação dos mesmos.
• O Regulamento, começa a ser aplicado a partir de 25 de maio de 2018 e
é vinculativo para os 28 Estados Membros da União, substituindo assim a
Diretiva 95/46/CE.
• A ratio legis, passa por ajudar o titular singular a interagir melhor com os
responsáveis pelo tratamento, para que o processo seja transparente e
eficaz, desta forma assegurando que o titular dos dados pessoais toma
decisões informadas.
No reverso da medalha, o RGPD reveste-se de um acrescido peso coercivo
face aos responsáveis pelo tratamento de dados pessoais.
Evolução
Sandra Francisco
Daniel Francisco
2018
2.Competência, âmbito e articulação com demais legislações aplicáveis
(Diretivas UE) 2016/680, e UE) 2016/681, legislação nacional, etc
O presente regulamento não se aplica às questões de defesa dos direitos e das liberdades
fundamentais ou da livre circulação de dados pessoais relacionados com atividades que se
encontrem fora do âmbito de aplicação do direito da União, como as que se prendem com a
segurança nacional. O presente regulamento não se aplica ao tratamento de dados pessoais
pelos Estados-Membros no exercício de atividades relacionadas com a política externa e de
segurança comum da União.” (considerando 16)
Diretiva (UE) 2016/680 – relativa à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção,
investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à
livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho
Diretiva (UE) 2016/681 – relativa à utilização dos dados dos registos de identificação dos
passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das
infrações terroristas e da criminalidade grave Sandra Francisco
Daniel Francisco
2018
2. Competência, âmbito e articulação com demais legislações
aplicáveis (Diretivas UE) 2016/680, e UE) 2016/681, legislação
nacional, etc
Sandra Francisco
Daniel Francisco
2018
Articulação com demais legislações aplicáveis (Diretivas UE), CRP,
legislação nacional, etc
Sandra Francisco
Daniel Francisco
2018
Articulação com demais legislações aplicáveis (Diretivas UE), CRP,
legislação nacional, etc
Com o RGPD
Apesar da Aplicabilidade Direta e do Primado, teremos de atender às
Outras Fontes em presença:
Com o RGPD
Sandra Francisco
Daniel Francisco
2018
Proteção de dados como direito fundamental
O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia («Carta») e o
artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia (TFUE)
estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que
lhes digam respeito (considerando 1).
Sandra Francisco
Daniel Francisco
2018
Proteção de dados como direito fundamental
Resulta do artigo 1.°, bem como dos considerandos 2 e 10 da Diretiva 95/46, que
esta visa assegurar não só uma proteção eficaz e completa das liberdades e dos
direitos fundamentais das pessoas singulares, nomeadamente o direito fundamental
à vida privada, no que diz respeito ao tratamento de dados pessoais, como também
um elevado nível de proteção dessas liberdades e desses direitos fundamentais.
A importância tanto do direito fundamental à vida privada, garantido pelo artigo 7.°
da Carta, como do direito fundamental à proteção dos dados pessoais, garantido
pelo seu artigo 8.° é, além disso, sublinhada na jurisprudência do Tribunal de
Justiça (v. acórdãos Rijkeboer, C-553/07, EU:C:2009:293, n.° 47; Digital Rights
Ireland e o., C-293/12 e C-594/12, EU:C:2014:238, n.° 53; bem como Google Spain
e Google, C-131/12, EU:C:2014:317, n.os 53, 66 e 74 e jurisprudência aí referida).
(Acórdão Schrems, 6 de outubro de 2015, 39)
Sandra Francisco
Daniel Francisco
2018
Articulação com demais legislações aplicáveis
(Diretivas UE), CRP, legislação nacional, etc
Com o RGPD
Sandra Francisco
Daniel Francisco
2018
CONSTITUIÇÃO DA REPÚBLICA PORTUGUESA - Artigo 35º
Utilização da Informática
1. Todos os cidadãos têm o direito de acesso aos dados informatizados que lhes
digam respeito, podendo exigir a sua reificação e atualização, e o direito de
conhecer a finalidade a que se destinam, nos termos previstos na lei.
6. A todos é garantido livre acesso às redes informáticas de uso público, definindo a lei
o regime aplicável aos fluxos de dados transfronteiras e as formas adequadas de
proteção de dados pessoais e de outros cuja salvaguarda se justifique por razões de
interesse nacional.
Análise do RGPD
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho
de 27 de abril de 2016 (RGPD) – revoga a Diretiva 95/46, de 24 de
outubro
São comuns artigos longos, com muitas alíneas e muitas intercalações dentro de
cada uma delas.
Sandra Francisco
Daniel Francisco
2018
Âmbito de aplicação territorial (considerandos)
(23) A fim de evitar que as pessoas singulares sejam privadas da proteção que lhes
assiste por força do presente regulamento, o tratamento dos dados pessoais de titulares
que se encontrem na União por um responsável pelo tratamento ou subcontratante não
estabelecido na União deverá ser abrangido pelo presente regulamento se as atividades
de tratamento estiverem relacionadas com a oferta de bens ou serviços a esses
titulares, independentemente de estarem associadas a um pagamento (…).
(24) (…). A fim de determinar se uma atividade de tratamento pode ser considerada
«controlo do comportamento» de titulares de dados, deverá determinar-se se essas
pessoas são seguidas na Internet e a potencial utilização subsequente de técnicas de
tratamento de dados pessoais que consistem em definir o perfil de uma pessoa singular,
especialmente para tomar decisões relativas a essa pessoa ou analisar ou prever as
suas preferências, o seu comportamento e as suas atitudes.
Sandra Francisco
Daniel Francisco
2018
ENQUADRAMENTO GERAL
... ou seja:
Qualquer titular jurídico (seja pessoa singular ou coletiva) que realize qualquer
tipo de tratamento que envolva Dados Pessoais.
Regra geral, apenas estão sujeitas à lei as entidades que residam/tenham o seu
estabelecimento no território da UE.
No entanto, esta lei também pode ser aplicável ao tratamento de dados por
empresas/pessoas com residência/sede fora deste território em determinadas
situações específicas e previstas na lei.
(Cont.)
Segurança e Privacidade
Sandra Francisco
Daniel Francisco
2018
Definição de Privacidade
"O direito a ser livre de vigilância secreta e de determinar se, quando, como e
a quem é revelada informação pessoal ou organizacional do próprio“
Sandra Francisco
Daniel Francisco
2018
Diferenças para a regulamentação atual
• Uma pessoa natural identificável é aquela que pode ser identificada, direta ou
indiretamente, em particular através de uma referência como um nome, um
número de identificação, dados de localização, identificador onlinF , ou a um ou
mais fatores específicos relacionados com a sua identidade física, fisiológica,
genética, mental, económica, cultural ou social
Diferenças para a regulamentação atual
Âmbito no RGPD
Dados, Cloud, Big, data, Data Minning, IoT (Internet das coisas), Proteção,
Privacidade, Consentimento tácito, Dados Pessoais, Bases de Dados, Proteção,
Privacidade, Consentimento informado e expresso
Sandra Francisco
Daniel Francisco
2018
Dados :
Sandra Francisco
Daniel Francisco
2018
Big data
Variedade: Quanto mais dados e fontes temos, maior é a complexidade para trabalhar os
dados, mas também maiores as possibilidades para gerar informação útil. Por isso a
variedade de dados é importante. Chamamos de fonte de dados os locais onde os dados
são armazenados, ferramentas como Google Analytics, RD Station, Facebook e apps
como o Whatsapp são fontes de dados.
Valor: O último V. Numa informação que não serve para nada, o valor do trabalho realizado
será perto de zero, portanto, precisamos entender bem o contexto e a necessidade, para
gerar a informação certa para as pessoas certas. Por isso falamos tanto em “informação útil”
e conhecimento .
Sandra Francisco
Daniel Francisco
2018
Data Minning
Processo de explorar
grandes quantidades de
dados à procura de
padrões consistentes,
como regras de
associação ou
sequências temporais,
para detetar
relacionamentos
sistemáticos entre
variáveis, Sandra Francisco
Daniel Francisco
2018
Cloud,
Sandra Francisco
Daniel Francisco
2018
Proteção de dados
Sandra Francisco
Daniel Francisco
2018
Consentimento informado e expresso
Sandra Francisco
Daniel Francisco
2018
Consentimento informado e expresso
Não sendo admitidos consentimentos implícitos (por exemplo, por aceder e navegar
simplesmente num site/portal ou não responder a um pedido).
Sandra Francisco
Daniel Francisco
2018
Consentimento informado e expresso
O consentimento deverá ser dado mediante um ato positivo claro que indique uma
manifestação de vontade livre, específica, informada e inequívoca de que o titular de
dados consente no tratamento dos dados que lhe digam respeito.
Sandra Francisco
Daniel Francisco
2018
Consentimento informado e expresso
.
Como pode ser declarado uma ato positivo de consentimento?:
• uma declaração escrita, inclusive em formato eletrónico
• ou uma declaração oral (por ex: uma chamada telefónica gravada num
IVR)
• Validar uma opção ao visitar um sítio web na internet
• Selecionar parâmetros técnicos (cookies), para utilização de serviços da
sociedade da informação ou
• Mediante outra declaração que indique claramente nesse contexto que a ceita
o tratamento dos seus dados pessoais.
Sandra Francisco
Daniel Francisco
2018
6. A CNPD - Comissão Nacional de Proteção de Dados
exemplos de:
https://www.cnpd.pt/bin/decisoes/1999/htm/aut/aut001-99.htm
https://www.cnpd.pt/bin/decisoes/Aut/10_3_2018.pdf
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados - Encarregado de Proteção de
Dados/Data Protection Office (DPO)
Índice:
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
5. Funções do DPO
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
5. Funções do DPO
c) Outras funções:
em grupos empresariais: coordenar a política de proteção de dados nos vários
estabelecimentos e/ou coordenar-se com os demais DPO, caso existam.
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
6. O perfil profissional do DPO
a) O perfil legal:
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
Perfil do DPO
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados Posição funcional do DPO
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados Posição funcional do DPO
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
8. Responsabilidade do DPO
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
9. Conclusões: o impacto
Sandra Francisco
Daniel Francisco
2018
9. Conceito e Tratamento de dados pessoais sensíveis, com especial
Remuneração
Linhas de ÉTICA
Sandra Francisco
Daniel Francisco
2018
9. Conceito e Tratamento de dados pessoais sensíveis, com especial
incidência no Regime Jurídico Especial de contexto Laboral:
https://www.cnpd.pt/bin/legal/isencoes/ise001-99.htm
Sandra Francisco
Daniel Francisco
2018
10. Novos direitos e novos deveres dos titulares de dados
Sandra Francisco
Daniel Francisco
2018
Novos direitos e novos deveres dos titulares de dados
Sem restrições
Tem o direito de conhecer a finalidade para que os seus dados são tratados,
qual a lógica subjacente ao tratamento desses dados e a quem podem ser
comunicados.
Sandra Francisco
Daniel Francisco
2018
Direitos dos titulares de dados pessoais
Tem o direito de exigir que os dados a seu respeito sejam exatos e atuais,
podendo solicitar a sua retificação
Tem o direito de exigir que os seus dados sejam eliminados dos ficheiros de
endereços utilizados para marketing
Sandra Francisco
Daniel Francisco
2018
Direito a ser esquecido e ao apagamento de dados pessoais
Assim, sempre que uma pessoa deixe de permitir o tratamento dos seus dados
e não haja razões legítimas para a sua conservação, os dados deverão
obrigatoriamente ser apagados.
Sandra Francisco
Daniel Francisco
2018
Direito de Oposição
Sandra Francisco
Daniel Francisco
2018
Exercício
Informamos adequadamente as pessoas cujos dados registamos?
Sandra Francisco
Daniel Francisco
2018
Direito à portabilidade dos dados
Sandra Francisco
Daniel Francisco
2018
Direito à proteção de decisões automáticas
Sandra Francisco
Daniel Francisco
2018
11. A violação do RGPD
Accountability e auditorias
Sandra Francisco
Daniel Francisco
2018
A violação do RGPD
Sandra Francisco
Daniel Francisco
2018
A violação do RGPD
Sandra Francisco
Daniel Francisco
2018
Responsabilidade e penalidades no RGPD
Uma pessoa que tiver sofrido danos materiais ou imateriais resultantes de uma
infração ao RGPD tem direito a ser indemnizada pelo controller e/ou processor
pelos danos sofridos
• Até 20 M€ ou
• 4% da faturação bruta em todo o mundo da entidade ou do grupo a que a
entidade pertence
Sandra Francisco
Daniel Francisco
2018
Exercício
Temos os mecanismos para responder aos direitos das
pessoas que registamos?
Se 100 pessoas nos perguntarem 'O que é que registam sobre mim e para
que o utilizam?' no dia 26 de Maio podemos responder?
Sandra Francisco
Daniel Francisco
2018
O que é uma violação de dados pessoais para o RGPD ?
Quando a violação resultar num elevado risco para os direitos e liberdades dos
indivíduos, estes também terão de ser notificados diretamente.
Um ‘elevado risco’ significa que o risco para notificar os indivíduos é mais elevado
do que para notificar a autoridade supervisora.
Sandra Francisco
Daniel Francisco
2018
Que tipo de informação deve constar numa notificação de violação de dados
pessoais ?
Uma violação de dados pessoais que tenha de ser notificada deverá ser reportada
à entidade supervisora num prazo de 72 horas após a organização ter tido
conhecimento da mesma.
Compliance
Sandra Francisco
Daniel Francisco
2018
Requisitos de accountability
Sandra Francisco
Daniel Francisco
2018
Exemplo de estrutura de dossier RGPD
Regulamentação
• Leis orgânicas e leis habilitantes
• Regulamento de proteção de dados
• Regulamentos de gestão da privacidade
• Regulamento de desenvolvimentos e aquisição de sistemas de informação
• Decisões do Conselho
Tratamentos
Tratamento 1
• Descrição do processo
• Dados
• Sistemas, meios de acesso comunicações e armazenamento
• Bases legais, contratuais ou de consentimento
• Comunicação e interação com o titular dos dados
• Plano de acessos e permissões
• Plano de proteção de dados específico
• PIA
Sandra Francisco
Daniel Francisco
2018
Exemplo de estrutura de dossier RGPD
Tratamento 2
Descrição do processo
Tratamento n
Proteção de dados global
Regulamento de gestão de utilizadores, perfis e permissões
Modelo de segurança e proteção de dados
Plano de prevenção e ação a quebras na proteção da
privacidade
Relação com fornecedores
Declarações de conformidade com RGPD de fornecedores
Documentos de conformidade de produtos
Produto 1
Produto 2
Produto n
Relação com processador
Protocolo, responsabilidades
Sandra Francisco
Daniel Francisco
2018
Exemplo de estrutura de dossier RGPD
Documentação do processador
Sistemas, meios de acesso, comunicações e
armazenamento
Plano de proteção de dados especifico
Operação
Registo de ocorrências relacionadas com proteção de
dados
Manuais de utilização de registos de ocorrências e
acessos
DPO
Nomeações de DPO
Pareceres
Auditorias e inspeções
Gestão do arquivo RGPD
Gestão de alterações
Estrutura e regras de utilização
Sandra Francisco
Daniel Francisco
2018
Auditorias sobre privacidade
Sandra Francisco
Daniel Francisco
2018
Auditorias
Sandra Francisco
Daniel Francisco
2018
Auditorias
Para cumprir o regulamento é necessário:
• Conhecer todos os tratamentos feitos e os respetivos dados pessoais
recolhidos (inclui papel)
• Garantir a existência da respetiva base legal completa — lei habilitante,
relação contratual ou consentimento
• Desenvolver regulamentos internos para a recolha, conservação e
tratamento de dados pessoais e políticas da proteção da privacidade
• Documentar as decisões do CD referentes ao balanço de cada tratamento
entre utilização de dados pessoais e impacto na privacidade dos sujeitos
registados e todas as outras decisões referentes ao cumprimento do RGPD
• Garantir a existência de meios informáticos de acesso dos sujeitos
registados à sua informação, à correção desses dados, à expressão do seu
consentimento e da revogação desse consentimento onde aplicável
• Garantir o cumprimento do RGPD pelos fornecedores de sistemas e
Sandra Francisco
produtos Daniel Francisco
2018
Para cumprir o regulamento é necessário:
• A comunicação tem de ser escrita de forma simples e entendível por todos, tem
de ser completa, não pode remeter para uma lei ou regulamento
Sandra Francisco
Daniel Francisco
2018
'The Day After'
Na área jurídica existe um ou mais juristas que conhecem bem o RGPD e a sua
aplicabilidade na entidade
Sandra Francisco
Daniel Francisco
2018
Aspetos práticos da implementação RGPD
Desafios:
Há sistemas que nunca vão estar prontos a tempo — e talvez nunca estejam
completamente em linha com o RGPD
Sistemas com middleware em que dados pessoas fluem sem encriptação nos
serviços, acessíveis aos técnicos que os mantém
Sandra Francisco
Daniel Francisco
2018
Aspetos práticos da implementação RGPD
Desafios:
Assim, há que olhar para o espírito do regulamento — na fase inicial é mais
importante
base legal
2. Neste caso não é possível ter apenas um contrato entre entidades, sem
Isto, inclui pela primeira vez o acesso à informação por parte das entidades
públicas da União
A União Europeia e o Privacy Shield
http://ec.europa.eu/justice/data-protection/document/citizens-guide_en.pdf
https://ec.europa.eu/info/str
ategy/justice-and-
fundamental-rights/data-
protection/data-transfers-
outside-eu_en
A União Europeia e o Privacy Shield
Assim, para além de uma politica de gestão de risco que inclui as medidas e
responsáveis em caso de uma quebra ou suspeita de quebra na proteção dos
dados pessoais, há uma política específica para cada tratamento no respetivo
PIA
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Dados Sensíveis:
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Dados Sensíveis:
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Dados Sensíveis :
Quanto à definição de dados sensíveis, tanto a Convenção 108 (artigo 6.º) como
a Diretiva de Proteção de Dados (artigo 8.º) identificam as seguintes categorias:
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Dados Sensíveis :
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Dados Sensíveis :
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Dados Sensíveis :
Exceções:
1. Consentimento explícito do titular
2. Tratamento necessário para efeito de cumprimento de obrigações e do
exercício de direitos específicos do responsável pelo tratamento ou do titular
dos dados em matéria de legislação laboral, de segurança social ex:
atribuição de pensões no âmbito da segurança social.
3. Quando esteja em causa a proteção de interesses vitais do titular (o titular
está incapacitado de prestar o consentimento).
E ainda:
• Dados genéticos;
• Dados biométricos para identificar uma pessoa de forma inequívoca;
• Dados relativos à saúde
• Dados relativos à orientação sexual Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Dados Sensíveis :
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Dados Sensíveis :
• Parecer do GT 29
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp91_pt.pdf
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Tratamento de dados,
Artigo 4º
2) «Tratamento», uma operação ou um conjunto de operações efetuadas sobre
dados pessoais ou sobre conjuntos de dados pessoais, por meios
automatizados ou não automatizados, tais como a recolha, o registo, a
organização, a estruturação, a conservação, a adaptação ou alteração, a
recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou
qualquer outra forma de disponibilização, a comparação ou interconexão, a
limitação, o apagamento ou a destruição;
Artigo 6º
Licitude do tratamento- 1. O tratamento só é lícito se e na medida em
que se verifique pelo menos uma das seguintes situações: (…)
A QUEM SE APLICA?
• Obrigações de caráter geral aplicáveis a todos os responsáveis e
subcontratantes.
• Será conveniente a adesão a códigos de conduta aprovados e certificações
aprovadas.
• O Considerando 77 prevê que o Comité Europeu poderá emitir orientações
sobre operações de tratamentos de dados que não sejam suscetíveis de
resultar num elevado risco.
CÓDIGOS DE CONDUTA (ART. 40.º)
• Elabora dos por associações representativos de setores de atividade
• Projeto apresentado à autoridade de controlo, parecer, aprovação, registo e
publicidade pela autoridade de controlo.
• Supervisão obrigatória pelo organismo acreditado pela autoridade de controlo
• Supervisão da autoridade de controlo Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Perfis
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Anonimização e
Pseudonimização
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Anonimização e
Pseudonimização
Dados Anonimizados
• Não é possível associar os dados a um titular específico.
• Os dados originais foram objeto de injeção de “ruído” e/ou permutados
Ou
• Os dados foram agregados de forma tão uniforme quanto possível, criando
grupos*
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de Anonimização e
Pseudonimização
Sandra Francisco
Daniel Francisco
2018
12. Metodologia de identificação e Definições de:
Dados pseudonimizados - Exemplo
Implementação
Implementar o RGPD é em tudo semelhante à implementação de um sistema de
qualidade baseado em qualquer norma ISO. A mais conhecida é a ISO 9001,
mas existem outras, entre as quais surge a ISO 27001 que tem muitos requisitos
diretamente aplicáveis ao RGPD. Em termos gerais, uma empresa que já
detenha uma certificação ISO 27001 tem 70% da implementação do RGPD
feita.
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias partes do
Regulamento Geral de Proteção de Dados (RGPD)
certificação ISO27001.
Sim?
Contactar a pessoa responsável pela certificação e pelo seu controlo.
Adicionar ao grupo de trabalho e trabalhar a partir dos matérias desenvolvidos
para a certificação, em especial os planos de risco e de contingência.
Não?
Criar um plano de implementação de RGPD de raiz
Sandra Francisco
Daniel Francisco
2018
Sandra Francisco
Daniel Francisco
2018
Questionário de diagnóstico para identificar a necessidade aplicar o RPGD
A organização tem uma política de proteção de dados que orienta os funcionários e colaboradores em como
manter os dados pessoais seguros?
Os laptops (portáteis) e outros dispositivos móveis onde transmite informações da sua empresa são
encriptados?
Armazena dados pessoais na (Cloud) nuvem? Isso pode incluir dados do cliente em aplicações ou sites tais
como salesforce.com, Dropbox, etc….
Existem dados pessoais em meios removíveis, e. Dispositivos USB, CDs, DVD, etc.?
Existem processos ou canais já formalizados e documentados para a gestão de dados? Está estabelecido
quem responde ou é responsável de responder, caso haja um pedido de informação de dados? Sandra Francisco
Daniel Francisco
2018
Exemplo de planificação inicial para a implementação do RGPG
A implementação do RGPD é
um projeto e por conseguinte
deve ser estruturados e gerido
com uma metodologia de
gestão de projetos
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias
partes do Regulamento Geral de Proteção de Dados (RGPD)
https://www.cnpd.pt/bin/rgpd/10_
Medidas_para_preparar_RGPD_
CNPD.pdf
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias
partes do Regulamento Geral de Proteção de Dados (RGPD)
Tabelas RACI
[R] – Responsável pela
Execução
[A] – Aprovação,
Autorização e Responsável
para o Nível Hierárquico
Superior
[C] – Consultado
[I] – Informado
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias
partes do Regulamento Geral de Proteção de Dados (RGPD)
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias partes do
Regulamento Geral de Proteção de Dados (RGPD)
externos
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias partes do
Regulamento Geral de Proteção de Dados (RGPD)
dados
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias partes do
Regulamento Geral de Proteção de Dados (RGPD)
de titulares de dados
• Formação RGPD
• Kick-off entidade
• Ferramentas de controlo
• Melhoria continua
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias partes do
Regulamento Geral de Proteção de Dados (RGPD)
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias partes do
Regulamento Geral de Proteção de Dados (RGPD)
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias partes do
Regulamento Geral de Proteção de Dados (RGPD)
A Autoridade de controlo deve elaborar e tornar pública uma lista dos tipos de
operações de tratamento sujeitos ao requisito de avaliação de impacto para a
proteção de dados (art.35.º, n.º4).
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias partes do
Regulamento Geral de Proteção de Dados (RGPD)
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias partes do
Regulamento Geral de Proteção de Dados (RGPD)
A figura seguinte ilustra o processo interativo genérico para a realização de uma AIPD:
Nota: Importa
sublinhar que o
processo descrito
nesta figura é
interativo: na
prática, é provável
que cada uma das
etapas seja
revisitada várias
vezes antes de a
AIPD poder ser
concluída.
Sandra Francisco
Daniel Francisco
2018
Sandra Francisco
Daniel Francisco
2018
Exercício PIA (AIPD)
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias partes do
Regulamento Geral de Proteção de Dados (RGPD)
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias partes do
Regulamento Geral de Proteção de Dados (RGPD)
Sandra Francisco
Daniel Francisco
2018
Sandra Francisco
Daniel Francisco
2018
13.Construção de um "road map”, que permita articular as várias partes do
Regulamento Geral de Proteção de Dados (RGPD)
3. Consciencialização
As partes interessadas devem estar cientes e sensibilizadas da sua contribuição
para a eficácia da política de tratamento de Dados Pessoais e das implicações da
não conformidade com os requisitos do Regulamento Geral de Proteção de Dados.
As questões relacionadas com a privacidade dos Dados Pessoais devem ser
incorporadas na sensibilização e formação de todas as equipas da organização com
especial enfâse na dos recursos humanos, conformidade, suporte presencial e
remoto, informática interna, centro de atendimento, marketing e vendas.
8. Conformidade
Acompanhar novos requisitos de conformidade, expetativas e melhores práticas e
evitar violações de obrigações legais, estatutárias, regulamentares ou contratuais
relacionadas com a privacidade dos Dados Pessoais.
Caso não disponha de recursos internos deve-se apoiar num parceiro que o possa
acompanhar ao longo de todo o processo estratégico de implementação, eliminando
o risco de incumprimento normativo de eventuais coimas pela respetiva autoridade
de controlo e sobretudo, eliminando o risco de ocorrência de algum tipo de incidente
sobre Dados Pessoais geridos na organização. Sandra Francisco
Daniel Francisco
2018
.
Sandra Francisco
Daniel Francisco
2018
Dados nas Escolas
Sandra Francisco
Daniel Francisco
2018
Dados nas Escolas
Na Deliberação n.º 1495/2016, de 6 de Setembro, a CNPD definiu orientações
precisas às escolas sobre os limites legais para o tratamento de dados pessoais,
na vertente da sua difusão através da Internet, bem como sobre os procedimentos
que devem adotar com vista a aumentar a segurança da informação e a minimizar
os riscos de utilização abusiva dos dados pessoais.
“A utilização generalizada da Internet pelos estabelecimentos de ensino, com destaque
para a criação de sítios (websites) próprios veio contribuir inevitavelmente para uma
aproximação da escola à sociedade, através de uma maior exposição das suas
atividades, bem como permitindo o contacto direto, célere, económico e eficiente de
alunos, encarregados de educação e pessoal docente e não docente.
“Não é possível controlar a forma como cada um dos utilizadores pode vir a fazer do
uso das imagens, inclusivamente manipulando-as ou reproduzindo-as em redes
sociais e divulgando informação não só sobre si e sobre o seu educando, mas também
sobre as restantes crianças”
A comissão não admite sequer remeter estes conteúdos para uma área
reservada dos sites, acessível só a utilizadores com palavra-passe, uma
solução que a comissão defende no caso das pautas de avaliação e nas
listas de alunos matriculados.
“Não é possível controlar a forma como cada um dos utilizadores pode vir a
fazer do uso das imagens, inclusivamente manipulando-as ou reproduzindo-as
em redes sociais e divulgando informação não só sobre si e sobre o seu
educando, mas também sobre as restantes crianças”
Sandra Francisco
Daniel Francisco
2018
Dados nas Escolas
Avaliações/Pautas
No que diz respeito às pautas de avaliação, a CNPD considera que estas
não devem ser publicadas em “sites abertos” e no caso de existirem já
publicadas estas devem ser retiradas.
“…as classificações devem ser eliminadas do sítio com eficácia, isto é, não
apenas “escondidas”, mas efetivamente apagadas, não podendo nunca
exceder o prazo máximo do final do ano letivo em causa”
A CNPD alerta ainda para os perigos da informação dispersa, que apesar de não ter
o nome dos alunos, pode ser cruzada com outros dados permitindo, por exemplo,
perceber qual é o horário de uma determinada criança.
Sandra Francisco
Daniel Francisco
2018
Regulamento Geral Proteção de Dados
Sandra Francisco
Daniel Francisco
2018
Referências Bibliográficas
Legística - Perspetivas Sobre a Conceção e Redação de Atos Normativos,
Vários, Almedina, 2002
https://www.cnpd.pt/
Sandra Francisco
Daniel Francisco
2018
Regulamento Pessoal de Proteção de
Dados - RGPD
sandrafranc@hotmail.com
danielfrancisc@gmail.com
Sandra Francisco
Daniel Francisco
2018
Bem Hajam!
Sandra Francisco
Daniel Francisco
2018