What is O que é RGPD?

GDPR?
• A European regulation effective from May 25th 2018.
• Um regulamento europeu em vigor a partir de 25 de Maio de 2018.

• A security issue and a compliance issue for organisations.

• Um problema de segurança e um problema de conformidade para as organizações.

• Every organisation processes personal data – customers,

employees, suppliers etc.

• Todas as organizaçoes processam dados pessoais – clientes, funcionários, fornecedores
etc.

• Most people want to retain control about who has access

to their private information.

• A maioria das pessoas deseja manter o controle sobre quem tem acesso às suas
informações privadas.
 What is O que é RGPD?

GDPR?
• Organisations can legitimately use personal data provided

they comply with the GDPR.

• As organizações podem usar dados pessoais legitimamente, desde que cumpram o RGPD.

• Important to look at data security and data governance in

the organisation before making any processing decision

that involves personal data.
• É importante observar a segurança e a gestão de dados na organização antes de tomar
qualquer decisão de processamento que envolva dados pessoais.
 Who is covered by GDPR?
The controller
This is a government agency or organisation
(public or private) that initiates the collection and
processing of personal data. The controller is the
entity that collects and uses personal data or
shares that information.
O controlador
Esta é uma agência ou organização governamental (pública ou privada) que
inicia a recolha e o processamento de dados pessoais. O responsável pelo
tratamento é a entidade que recolhe e utiliza dados pessoais ou partilha essa
informação.
The data subjects
The people whose personal information is
being collected, used and processed by the
controllers and processors.
The processors
Those contracted by the controller to process
personal data. These are usually IT companies, HR
Companies or third-party marketing companies,
but the term “data processor” can also relate to
any software used to process data.
Os processadores
Aqueles contratados pelo controlador para processar dados pessoais.
Geralmente são empresas de IT, empresas de RH ou empresas de marketing
terceiras, mas o termo “processador de dados” também pode se referir a
qualquer software usado para processar dados.
Os titulares de dados
As pessoas cujas informações pessoais estão sendo recolhidas, usadas
e processadas pelos controladores e processadores.
 What is Personal Data
under GDPR?
• Information about a living person, where that person is
identified or could be identified.
• Informações sobre uma pessoa viva, onde essa pessoa é identificada ou poderia ser identificada.

• Personal data in written form, e.g. in an email, a document, a

report, a CV, etc.
• Dados pessoais por escrito, por ex. em um e-mail, um documento, um relatório, um currículo, etc.

• Information about what a person looks or sounds like, e.g.

photos, audio or video recordings.
• Informações sobre a aparência ou a voz de uma pessoa, por ex. fotos, gravações de áudio ou vídeo.

• Partially anonymised personal information, e.g. a nickname,

initials instead of first name/surname, an employee number etc.
• Informações pessoais parcialmente anonimas, por ex. um apelido, iniciais em vez de
 What is Personal Data
under GDPR?
• Pseudonymised personal information, e.g. separate personal
data from direct identifiers so that linkage to an identity is no
longer possible without additional information held separately.
• Informações pessoais, por ex. separar dados pessoais diretos para que a vinculação a uma

identidade não seja possível sem informações adicionais.

• The following data is considered personal data under GDPR:

name (first, last, middle, maiden, etc.), date of birth, telephone
number, address, photographs, audio/visual recordings, bank
details, opinions, passport numbers and location data.
• Os seguintes dados são considerados dados pessoais ao abrigo do RGPD: nome (primeiro, último,

solteiro, etc.), data de nascimento, número de telefone, morada, fotografias, gravações

áudio/visuais, dados bancários, opiniões, números de passaporte e dados de localização .

Are there any Special Types of Personal Data
Defined under GDPR?
Existem dados pessoais definidos no RGPD?

Informações particularmente confidenciais que podem resultar

Particularly sensitive information that em danos ou vulnerabilidade de indivíduos em caso de violação
de dados.
could result in individuals coming to
harm or being vulnerable in the event of
a data breach.

Objective information which is factual Informações objetivas que são informações factuais e subjetivas,
incluindo opiniões e avaliações.
and subjective information including
opinions & assessments.

These types of data are treated as

Esses tipos de dados são tratados como "categorias
‘special categories’ of data under the especiais" de dados no GDPR.

GDPR.
Are there any Special Types of Personal Data
Defined under GDPR?
Existem dados pessoais definidos no RGPD?

Raça ou etnia, crenças religiosas ou espirituais, tendências políticas

Race or ethnicity, religious or spiritual ou filosóficas, alianças sindicais, dados biológicos/genéticos, dados
médicos, sexualidade/identidade de genero, etc.
beliefs, political or philosophical
leanings, Trade union alliances,
biological/genetic data, medical data,
sexuality/gender identity, etc.

Maiores níveis de proteção são necessários, por ex. níveis

Greater levels of protection are required, extras de verificações, com justificacao para recolher e usar
esses tipos de dados e medidas de segurança para
e.g. extra levels of checks, justification armazenamento dos dados.
for collecting and using those types of
data & security measures for storage of
the data.
 The Key Principles of the GDPR?

Purpose limitation Data minimisation Lawfulness, fairness and

transparency
Data can only be Data collected must be
collected for specific, relevant and limited to The company must tell
explicit, and legitimate the intended purpose. customers/employees/
purposes. general public how
data will be collected
and processed.
 The Key Principles of the GDPR?

Accuracy Integrity and confidentiality Storage limitations

Businesses must Businesses must have Data that is no longer

ensure that data is appropriate security required must be
accurate and kept up measures in place to keep deleted.
to date. user’s data safe,
confidential and to
prevent unlawful
processing, accidental
loss, or damage of data.
What Rights Do Data Subjects Have?
Access
The right to access any personal
information you hold on them.
Correct
The right to correct errors in the
personal data you hold on them.
Notify
The right to be notified within 72 hours if
there is a breach of information.
Remove
The right to be forgotten or request the
removal of information collected about
them – particularly when you no longer
need the information you collected.
Portability
The right to portability, meaning the
information must be provided in a
structured, electronic format that can be
moved.
 What are the 8 Core Privacy Principles?

Notification Lawfulness Limits Security

Organisations Consent is usually Personal data must Those who collect,

must provide clear needed to share only be disclosed use, and store
information to private data, when there is need personal
their customers although when for a disclosure. information must
about when and consent is not There are, however, employ reasonable
how their data is necessary there exceptions that allow measures to
being used and if must be a clear data to be used for protect data.
personal data is legal basis for purposes other than
being transferred sharing data. the reasons for which
to a third party. the information was
originally collected.
 What are the 8 Core Privacy Principles?

Downstream Access and Rights Breach

Accountability
protection Notification
Those who collect, As well as the Individuals should If an individual’s
use, and store initial collector of be able to access data is breached,
personal data must data, any party and use their own the individual must
comply with the with whom the personal data, as be notified as soon
GDPR and its information is well as withhold as possible, and
principles. shared must also permission for the supervisory
adhere to GDPR certain uses of authority notified
requirements. their data. within 72 hours of
the breach’s
discovery.
 The obligation to lawfully
process personal data
A obrigação de tratar legalmente os dados pessoais
• You have given your free and informed consent.
• Você deu o seu consentimento livre e informado.

• The processing is necessary to carry out a contract.

• O processamento é necessário para a execução de um contrato.

• The processing is necessary for the company to comply with a

legal obligation, such as the mandatory collection of details for

anti-money laundering or tax purposes.
• O tratamento é necessário para que a empresa cumpra uma obrigação legal, como a obrigatoriedade
de recolha de dados para fins fiscais ou de combate ao branqueamento de capitais.

• The processing is necessary to protect your vital interests or the

vital interest of another person, such as accessing medical records

in an emergency.
• O processamento é necessário para proteger seus interesses vitais ou os interesses vitais de outra
pessoa, como acessar registros médicos em caso de emergência.
 The obligation to lawfully
process personal data
A obrigação de tratar legalmente os dados pessoais
• The processing is necessary for the performance of a task carried

out in the public interest or where the controller has official

authority, such as public security processing.
• O processamento é necessário para a execução de uma tarefa realizada no interesse público ou
quando o controlador tem autoridade oficial, como o processamento de segurança pública.

• The processing is necessary in the legitimate interests of the

processing organisation if it doesn’t conflict with rights, such as to

prevent fraud
• O processamento é necessário no interesse legítimo da organização de processamento, se não conflitar
com os direitos, como para evitar fraudes
 Data Breaches
Violações de dados
• A data breach occurs when the data for which your

responsible suffers a security incident resulting in a breach of

confidentiality, availability or integrity.
• Uma violação de dados ocorre quando os dados pelos quais o seu responsável sofre um
incidente de segurança resultando em quebra de confidencialidade, disponibilidade ou
integridade.

• If that occurs, and the breach poses a risk to an individual’s

rights and freedoms, you must notify the Data Protection

Commission within 72 hours.
• Se isso ocorrer e a violação representar um risco para os direitos e liberdades de um
indivíduo, você deve notificar a Comissão de Proteção de Dados no prazo de 72 horas.

• If your company is a data processor it must notify every data

breach to the data controller.

• Se a sua empresa for um processador de dados, deve notificar todas as violações de
dados ao controlador de dados.
 Data Breaches
Violações de dados

• If the data breach poses a high risk to those individuals

affected then they should all also be informed, unless

effective technical and organisational protection
measures have been put in place, or other measures that
ensure that the risk is no longer likely to materialise.
• Se a violação de dados representar um risco elevado para os indivíduos afetados, todos
devem ser informados, a menos que tenham sido implementadas medidas eficazes de
proteção técnica e organizacional ou outras medidas que garantam que o risco não seja
mais provável de se materializar.