Curso online:

RGPD para Implementadores na AP

Etapa 3
Avaliar compatibilidades e implementar correções
0 1 2 3 4 5 6 7

Palavras-chave Analisar Avaliar Regular Implementar

Entradas
• Dossier com os documentos entregues na etapa anterior, destacando-se as listas produzidas
• Mapeamento e caraterização dos dados pessoais e tratamentos
• Minutas dos contratos com terceiros que envolvam transferência, acesso ou transmissão de
dados pessoais
• Formulários (físicos e digitais) utilizados nas unidades orgânicas para recolha de dados pessoais
• Conhecimento dos sistemas e aplicações informáticas em utilização para tratar dados pessoais
• Lista de identidades e acessos dos colaboradores da organização e descrição dos sistemas e
tecnologias utilizados na gestão dos acessos
• Conhecimento do sistema de gestão do arquivo da organização

Entregáveis
• Lista de tratamentos intervencionados e alterados
• Normativos internos de gestão e proteção de dados
• Princípios de privacidade
• Normativo de gestão de identidades
• Mapa de acessos a dados por repositório de dados
• Processo e procedimento de atribuição, alteração e remoção de perfis e permissões, por
processo e sistema
• Plano de tratamento do risco de segurança da informação (na organização e na relação com
partes terceiras)
• Proposta de modelo de Avaliação de Impacto de Proteção de Dados (PIA)
• Minutas revistas e adendas a introduzir nos contratos com terceiros que envolvam
transferência, acesso ou transmissão de dados pessoais
• Minutas de adendas e cláusulas a introduzir nos contratos tipo U.E. com terceiros para fora do
território Europeu ou convencionado, que envolvam transferência, acesso ou transmissão
de dados pessoais
• Modelos revistos de formulários (físicos e digitais) utilizados nas unidades orgânicas para recolha
de dados pessoais
• Documentação das ações realizadas
• Documento de reporte ao dirigente máximo das ações da etapa

1 /5
 Curso online:
RGPD para Implementadores na AP

Etapa 3
Avaliar compatibilidades e implementar correções
0 1 2 3 4 5 6 7

Ações
1. Documentos macro:
a. Avaliar políticas, regulamentos, procedimentos e processos de gestão de dados pessoais e políticas de
privacidade existentes
i. Identificar se a organização conhece e aplica as políticas e normativos identificados e avaliados
b. Identificar se a organização conhece e aplica as políticas e normativos identificados e avaliados
i. Preparar um ou mais princípios de privacidade
ii. Preparar um plano de tratamento do Risco de Segurança da informação e na relação com partes
terceiras (parceiros, fornecedores, prestadores de serviço e outras entidades externas)
iii. Preparar o modelo de PIA (Privacy Impact Assessment), textos de consentimento e conteúdos
informativos por grupo e tratamento de dados
iv. Preparar um normativo ou Regulamento de gestão de identidades, com políticas/códigos de conduta
2. Bases legais e contratuais do tratamento:
a. Analisar, por unidade orgânica, e de forma integrada por entidade, todos as atividades de tratamento de
dados pessoais
b. Identificar as atividades de tratamento que carecem de alteração com vista à conformidade com o RGPD,
quer ao nível do procedimento quer dos formulários e modelos em suporte de papel e digital
c. Reavaliar os dados pessoais capturados, por sistema e tratamento e reconciliação com a respetiva base legal
d. Verificar e especificar as decisões que são baseadas em decisões automatizadas e assegurar que as
condições previstas no RGPD podem ser, e são, asseguradas
e. Avaliar a adequação da base legal da partilha de dados (data sharing) com outras entidades públicas,
se identificas na etapa anterior
f. Analisar as transferências de dados para países terceiros, se identificadas na etapa anterior, verificar se
estes são qualificados como adequados na lista da U.E. e identificar as medidas necessárias para o efeito
(nomeadamente minutas com os contratos tipo da U.E. se forem realizadas transferências para países na
lista de proibições da U.E.)
i. Garantir um nível legal adequado à transferência de dados pessoais para países terceiros,
nomeadamente, analisando o clausulado dos contratos em vigor e das minutas, no que se refere a sigilo,
confidencialidade e conformidade com o RGPD no que diz respeito a dados pessoais
ii. Alterar as minutas dos contratos com terceiros para incluir clausulado sobre sigilo, confidencialidade e
conformidade com o RGPD no que diz respeito a dados pessoais
g. Realizar adendas aos contratos existentes com terceiros para incluir clausulado sobre sigilo,
confidencialidade e conformidade com o RGPD no que diz respeito a dados pessoais
h. Avaliar as bases legais e contratuais dos tratamentos, nomeadamente:
i. Avaliar, por sistema, os mecanismos de obtenção de consentimento
ii. Identificar os processos de resposta aos pedidos de acesso aos dados pelos titulares
iii. Identificar se há dados pessoais armazenados/recolhidos que não são necessários às finalidades
iv. Identificar processos com decisões automatizadas com base em dados pessoais
v. Analisar os formulários, procedimentos de recolha de dados pessoais, canais e processos de
atendimento dos titulares

2 /5
Curso online:
RGPD para Implementadores na AP

Etapa 3
Avaliar compatibilidades e implementar correções
0 1 2 3 4 5 6 7

vi. Rever formulários, físicos e digitais, usados para recolha de dados pessoais, cumprindo todos os
princípios do RGPD, nomeadamente de minimização, limitação de finalidades, de licitude
vii. Rever campos de informação institucional ao titular de dados pessoais tratados na organização
i. Elaborar uma lista de todos os tratamentos intervencionados e documentar as ações
3. Segurança, transferência de dados e arquivo:
a. Identificar as atividades de tratamento que são suscetíveis de implicar um elevado risco para os direitos e
liberdades das pessoas singulares e assinalá-las como de intervenção prioritária
b. Analisar os sistemas e aplicações em utilização para registar dados pessoais, identificar as respetivas funcio
nalidades, níveis de acesso, medidas de segurança existentes e identificar medidas a implementar
c. Especificar as medidas de segurança implementadas (a nível técnico e organizativo) para minimizar os riscos
de violações de dados:
i. Avaliar, por sistema, os mecanismos de segurança nos interfaces, comunicações e armazenamento de
dados
ii. Analisar a capacidade para restabelecer a disponibilidade e o acesso aos dados de forma atempada no
caso de um incidente físico ou técnico
iii. Analisar o sistema de gestão de identidades e de acessos
iv. Aplicar atualizações e limpeza de perfis e permissões
v. Verificar as ferramentas de rastreabilidades de acesso, inserção, alteração e eliminação de dados (logs)
em todos os sistemas e aplicações
vi. Avaliar os riscos de segurança da informação na relação com partes terceiras (parceiros, fornecedores,
prestadores de serviço e outras entidades externas)
d. Analisar os processos de gestão documental e arquivos

3 /5
 Curso online:
RGPD para Implementadores na AP

Etapa 3
Avaliar compatibilidades e implementar correções
0 1 2 3 4 5 6 7

Checklist
Foram determinadas de forma transparente e de comum acordo as respetivas responsabilidades
das partes envolvidas, no cumprimento das obrigações impostas pelo RGPD?
Identificaram-se normativos ou políticas de gestão e proteção de dados?
Aplicam-se as políticas de proteção de dados?
Foi preparado um normativo interno de gestão e proteção de dados?
Foram preparados e aprovados um ou mais princípios de privacidade?
Foi preparado ou revisto um documento normativo de gestão de identidades?
A natureza, o âmbito, o contexto e os propósitos do tratamento são levados em conta para
garantir e demonstrar que o tratamento está de acordo com o RGPD?
São tidos em conta os diferentes riscos para os direitos e liberdades das pessoas singulares,
ao nível da probabilidade de ocorrência e da gravidade?
São aplicadas medidas técnicas e organizacionais adequadas?
Foram analisados todas as aplicações e sistemas em uso para tratamento de dados pessoais,
avaliada a respetiva segurança e propostas medidas a implementar?
Foi elaborado um plano de tratamento do risco de segurança da informação (na organização e
na relação com partes terceiras)?
Foi desenhado o procedimento de atribuição, alteração e remoção de perfis e permissões,
por processo e sistema?
Foram aplicadas medidas de limpeza e atualização de perfis e permissões?
Foi elaborada proposta de modelo de Avaliação de Impacto de Proteção de Dados (PIA)?
Foram analisados todos os tratamentos de dados pessoais?
Todos os tratamentos estão assegurados de legalidade?
Os dados pessoais são obtidos para finalidades explícitas?
Os dados pessoais são obtidos para finalidades legítimas?
Os dados pessoais não são tratados posteriormente de forma incompatível com outras
finalidades?
Identificaram-se tratamentos que envolvam tomar uma decisão baseada exclusivamente no
tratamento automatizado?
Se sim, foi verificado, nomeadamente:
Se são adotadas medidas adequadas para dar ao titular a oportunidade de expressar seu
ponto de vista e contestar a decisão? Se não, foi identificada a alteração a introduzir?
As decisões automáticas individuais, incluindo a elaboração de perfis, que são baseados
nas categorias especiais de dados pessoais, têm autorização legal?
As partes interessadas são informadas sobre essas decisões individuais automatizadas e
sua autorização legal?

4 /5
Curso online:
RGPD para Implementadores na AP

Etapa 3
Avaliar compatibilidades e implementar correções
0 1 2 3 4 5 6 7

Foram produzidas minutas e adendas a introduzir nos contratos com terceiros que envolvam
transferência, acesso ou transmissão de dados pessoais?
Foram produzidas minutas de adendas e cláusulas a introduzir nos contratos tipo U.E. com
terceiros para fora do território europeu ou convencionado, que envolvam transferência,
acesso ou transmissão de dados pessoais?
Foram revistos todos os modelos de formulários (físicos e digitais) utilizados nas unidades
orgânicas para recolha de dados pessoais?
Foi produzido um documento com a identificação de todos os tratamentos intervencionados?
Todas as ações realizadas foram documentadas?
Foi apresentado documento de reporte da etapa ao dirigente máximo?

5 /5