Este documento resume as principais informações sobre o Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, incluindo: 1) O que é o RGPD e seus objetivos; 2) As obrigações das organizações sob o RGPD; 3) Os direitos dos indivíduos protegidos pelo RGPD.
2. IT Deputy Director | Business Technology
Office Servers and Services MVP
https://andrevala.com
/in/andrevala
@atomicvee
andre.vala@gmail.com
3. Esta sessão pretende transmitir a minha experiência
com o processo de conformidade com o RGPD até ao
momento. Não é uma explicação exaustiva sobre o
Regulamento nem apresenta uma fórmula para
garantir essa conformidade.
As opiniões proferidas são pessoais e não representam
a visão de nenhuma organização em particular.
6. • Regulamento Geral de Proteção de Dados
• Entra em vigor a 25 de Maio de 2018
• Pretende devolver aos cidadãos europeus o
controlo efetivo dos seus dados pessoais.
Qualquer informação relacionada com uma pessoa
identificada ou identificável. Inclui identificadores online
como endereços IP e cookies.
1 O QUE É O RGPD?
7. • Processamento justo, legal e transparente
• Recolhido com um objetivos específicos, explícitos e
legítimos
• Adequados, relevantes e limitados ao necessário
para o objetivo do seu processamento
• Precisos e atualizados
• Mantidos num formato que permita a identificação dos
sujeitos apenas pelo tempo necessário ao objetivo do
seu processamento
• Processado com medidas técnicas e organizacionais
que garantam a segurança apropriada e protecção
contra utilização indevida, perda acidental, destruição
ou dano.
1 O QUE É O RGPD?
8. • Todas as entidades públicas e privadas,
incluindo entidades subcontratadas, que
procedam ao tratamento de dados pessoais de
cidadãos europeus, independentemente da
sua localização.
• Apenas dados pessoais de pessoas singulares.
Não se aplica a empresas.
1 O QUE É O RGPD?
9. Controlo feito pela Comissão Nacional de
Proteção de Dados (CNPD)
https://www.cnpd.pt
Entidades públicas isentas de coimas por 3
anos (artigo 59º da proposta de Lei) com
reavaliação no final desse período.
1 O QUE É O RGPD?
Proposta de Lei nº 120/XIII aprovada a 22
de Março de 2018
http://app.parlamento.pt/webutils/docs/doc.pdf?path=6148523063446f764c3246795a5868774d546f334e7
a67774c336470626d6c7561574e7059585270646d467a4c31684a53556b76644756346447397a4c33427762
4445794d43315953556c4a4c6d527659773d3d&fich=ppl120-XIII.doc&Inline=true
10. 1 O QUE É O RGPD?
Entidade Mínimo Máximo
Grandes Empresas 5.000 € 20.000.000 € ou 4% volume de negócios anual (a nível mundial)
PMEs 2.000 € 2.000.000 € ou 4% volume de negócios anual (a nível mundial)
Pessoas singulares 1.000 € 500.000 €
Entidade Mínimo Máximo
Grandes Empresas 2.500 € 10.000.000 € ou 2% volume de negócios anual (a nível mundial)
PMEs 1.000 € 1.000.000 € ou 2% volume de negócios anual (a nível mundial)
Pessoas singulares 500 € 250.000 €
CONTRAORDENAÇÃO MUITO GRAVE
CONTRAORDENAÇÃO GRAVE
11. • Consentimento do indivíduo
• Obrigação contratual entre a organização e o
indivíduo
• Satisfação de uma obrigação legal
• Proteção dos interesses vitais do indivíduo
• Execução de tarefa de interesse público
• Para o interesse legítimo da organização
12. • Tem que ser dado de forma livre, específica,
informada e explícita
• Através de formulários próprio ou ação
positiva
• Necessário conseguir demonstrar que o
consentimento foi dado cumprido estes
requisitos
• O titular dos dados pode revogar o
consentimento
• Para menores de 13 anos, é necessário o
consentimento dos pais
1 O QUE É O RGPD?
13.
14. • Fornecer informação transparente
• Nomear um Data Protection Officer (DPO)
• Realizar Data Protection Impact Assessments
(DPIA)
• Data Protection by Design and Default
• Notificar em caso de Violação/Perda
2 OBRIGAÇÕES DAS ORGANIZAÇÕES
15. • Pelo menos, fornecer informação sobre:
• Identificação da organização
• Razão para tratamento de dados
• Base legal para tratamento de dados
• Quem terá acesso aos dados (se aplicável)
• Em alguns casos, indicar também:
• Contacto do DPO
• Interesse legítimo (quando é a base para o tratamento de dados)
• Período de retenção dos dados
• Direitos de proteção de dados do indivíduo
• Como revogar o consentimento (quando o consentimento é a base para o tratamento de dados)
• Se existe obrigação legal ou contratual de fornecer os dados
• Em caso de decisão automática, informação sobre a lógica, significado e consequências da
decisão
2 OBRIGAÇÕES DAS ORGANIZAÇÕES
17. • Nomeado pela organização
• Obrigatório na Administração Pública e entidades privadas que
tratem informação sensível ou em grande escala
• Colaborador ou prestador de serviços com conhecimentos em
matéria de privacidade e proteção de dados
• Responsável por
• Monitorização e cumprimento integral das obrigações previstas no RGPD
• Pessoa de contacto para qualquer assunto com a autoridade supervisora
2 OBRIGAÇÕES DAS ORGANIZAÇÕES
19. • Nomeado por cada área de atuação da organização
• Colaborador com conhecimento sólido da organização, dos
processos de tratamento de dados e dos fornecedores com
relações contratuais
• Responsável por
• Ponto de contacto com o DPO para esclarecimentos, sinergias e reporte de incidentes de
segurança
• Encaminhamento de pedidos dos titulares para o DPO
• Garantir a execução dos DPIAs sempre que necessário
• Registo de fornecedores que tratem dados pessoais de clientes e/ou colaboradores
2 OBRIGAÇÕES DAS ORGANIZAÇÕES
20. • Análise que permite identificar, avalia e mitigar or minimizar riscos
de privacidade em atividades de processamento de dados
• Relevante quando são introduzidos novos processos, sistemas ou
tecnologias de processamento de dados
• Obrigatório quando existe:
• Uma avaliação sistemática e aprofundada de aspetos pessoais de um indivíduo;
• Processamento de dados sensíveis em larga escala;
• Monitoria sistemática de áreas públicas, em larga escala.
21.
22. • By Design
• Proteção de dados é tida em conta no desenho inicial da solução
• Minimiza riscos de privacidade e aumenta a confiança
• By Default
• A opção que garanta maior privacidade, é a opção selecionada por omissão
2 OBRIGAÇÕES DAS ORGANIZAÇÕES
24. • Violação ou perda acontece quando dados pessoais pelos quais a
organização é responsável são libertados, seja acidentalmente ou
propositadamente, para recipientes não autorizados.
• Autoridade tem que ser notificada em 72 horas
• Pode ser necessário informar todos os indivíduos afetados
2 OBRIGAÇÕES DAS ORGANIZAÇÕES
27. • Direito ao acesso
• Direito à portabilidade
• Direito ao apagamento
• Direito à rectificação
• Direito à oposição
• Direito a contestar decisões
automatizadas
3 DIREITOS DOS INDIVÍDUOS
28. • Indivíduos têm direito ao acesso aos seus dados pessoais
• Acesso deve ser gratuito
• Dados devem ser fornecidos num formato acessível
• Todos os dados do indivíduo que são processados
3 DIREITOS DOS INDIVÍDUOS
30. • Previsto no artigo 20º do RGPD
• Quando o tratamento de dados é baseado em consentimento ou
contrato
• Dados destinados a serem transmitidos a outra organização
• Abrange apenas dados fornecidos pelos titulares
• Dados devem ser fornecidos em formato comum legível por
computadores (XML, JSON, CSV, etc...)
3 DIREITOS DOS INDIVÍDUOS
32. • Direito ao esquecimento
• O indivíduo pode pedir para que sejam eliminados todos os seus
dados pessoais
• Excepções
• Processamento é necessário para respeitar a liberdade de expressão e informação
• Obrigações legais
• Existência de razões de interesse público (saúde pública, investigação científica ou histórica, etc)
• Processos legais em curso
3 DIREITOS DOS INDIVÍDUOS
34. Se os seus dados pessoais estiverem incorretos, incompletos ou
imprecisos, o indivíduo pode requerer a sua correção imediata
3 DIREITOS DOS INDIVÍDUOS
36. • Se o tratamento for baseado em interesse legítimo ou interesse
público, o indivíduo pode objetar a esse tratamento
• O processamento do dados do indivíduo deverá cessar
imediatamente, exceto se o interesse legítimo se sobrepuser ao
interesse individual.
3 DIREITOS DOS INDIVÍDUOS
38. • Indivíduos têm o direito de não se sujeitar a uma decisão baseada
exclusivamente em processamento automático
• A organização tem que:
• Informar o indivíduo sobre o processo de decisão automatizado
• Dar ao indivíduo o direito de ter a decisão automatizada revista por uma pessoa
• Dar ao indivíduo a oportunidade de contestar a decisão
3 DIREITOS DOS INDIVÍDUOS
39.
40. • Cifragem dos dados
• Período de retenção
• Anonimização
• Limpeza dos logs e notificações
4 OUTROS DESAFIOS
41. • Período de retenção
• Anonimização
4 OUTROS DESAFIOS
42. • Revisão de todos os contratos de prestação de serviços
• Garantir inclusão de cláusulas de proteção de dados
4 OUTROS DESAFIOS
43. • Não é necessária a renovação de consentimento se o anterior
tiver observado as exigências constantes no RGPD
• Não é permitido oferecer contrapartidas para obter
consentimento
• Campanha de sensibilização
4 OUTROS DESAFIOS
44. • Como obter o consentimento?
• Aplicam-se as mesmas regras que para qualquer outro tipo de consentimento
• Não será suficiente apresentar mensagem de conhecimento e consentimento tácito
• Necessário ação positiva, livre e explícita
• E se o utilizador não aceitar?
• Impedir a navegação no website?
• Permitir a navegação com funcionalidade limitada?
4 OUTROS DESAFIOS
45. • Como garantir que é auditável?
• Utilização de ferramenta de ticketing/service management
• Selecionar ferramenta que implemente princípios de privacy by design e privacy by default
• Definir fluxos automatizados para tratamento dos pedidos
4 OUTROS DESAFIOS
47. • Processos resultantes de exercício dos direitos podem ter custos
elevados para as organizações
• O exercício dos direitos não pode ser dificultado e deverá ser
gratuito
• Como impedir o abuso dos direitos dos indivíduos?
• Automatizar tudo o que possa ser automatizado nos processos
• Primeiro pedido tem que ser gratuito
• Pedidos subsequentes, sem justificação válida, podem exigir pagamento
4 OUTROS DESAFIOS