Data Protection 360º Regulamento Geral de Proteção de Dados

Transcrição

1 Data Protection 360º Regulamento Geral de Proteção de Dados Maio 2018

2 A PwC As firmas da PwC colaboram com organizações e pessoas na criação do valor que procuram. Somos uma network de firmas presente em 158 países, com mais de colaboradores que partilham o objetivo de prestar serviços de qualidade em assurance, advisory e tax. Onde estamos localizados? Porto Lisboa PwC Portugal Escritórios: 4 Pessoas: Praia Luanda Qual é o contexto atual O que está em causa? 1 2 Data Protection 360º Que serviços oferecemos? 3 4 Como operacionalizamos? 2 PwC

3 1. Qual o contexto atual? O Regulamento Geral de Proteção de Dados (RGPD), aplicável a partir de 25 de maio de 2018, tem impacto em todas as organizações que tratem dados pessoais e que beneficiem da União Europeia. O objetivo principal do RGPD é o de assegurar o respeito pelo direito fundamental de cada pessoa à privacidade dos seus dados. O RGPD implica mudanças significativas na abordagem à gestão de dados pessoais e tem associadas sanções muito elevadas em caso de incumprimento. O papel do regulador (no caso de Portugal, a CNPD) é profundamente alterado com a entrada em vigor do RGPD. A CNPD deixa de ter poderes relevantes de supervisão prévia, como atualmente acontece com os procedimentos de notificação e autorização para o tratamento de dados pessoais, passando a concentrar os seus esforços em ações inspetivas. A mudança no papel do regulador representa menos burocracia para as organizações que passam a poder tratar dados sem necessidade de notificar ou pedir uma autorização à CNPD, contudo, representa também a completa internalização nas organizações da responsabilidade pelo cumprimento do RGPD. Tendo por base o calendário definido pela Comissão Europeia, as organizações devem, durante o ano de 2017, adaptar a sua organização ao RGPD em todos os seus processos (jurídicos e tecnológicos) para poderem cumprir com as normas constantes do RGPD. Neste contexto, a PwC tem como objetivo disponibilizar aos seus clientes uma oferta integrada, que inclui a vertente jurídica e operacional, para permitir aos mesmos a adaptação da organização ao RGPD. Neste documento detalhamos, de forma sintética, alguns aspetos da nossa oferta. Calendarização do RGPD Janeiro 2012 Dezembro 2015 Abril 2016 Até final de 2017 Janeiro 2018 Maio 2018 Publicação da proposta do RGPD Aprovação do RGPD Adoção formal do RGPD Implementação do RGPD pelas empresas Operacionalização do RGPD pelas empresas Início das ações de fiscalização Regulação Geral de Proteção de Dados 3

4 2. O que está em causa? A exigência está a aumentar causando alguns potenciais impactos Risco Operacional As sanções podem ascender a 20 milhões de euros ou a 4% do volume total de negócios anual, conforme o que for mais elevado. TI não adaptados face às maiores exigências Conhecimento pouco especializado da matéria Transferências inválidas de dados Aumento do número de incidentes e fragilidade dos processos de resposta adequada aos mesmos 500 milhões de cidadãos da UE, através das 28 autoridades de proteção de dados nacionais veem reforçados os seus direitos perante as empresas. Risco Regulatório Multas e penalidades Auditorias à proteção de dados A divulgação de dados pressupõe falhas na gestão por parte das Organizações, pelo que estas serão sujeitas à aplicação de coimas. Risco Financeiro As Autoridades de Proteção de Dados de cada país (ex: CNPD), são obrigadas, a regular e a investigar. Perda de receitas Custos de litigação e contingência Aumento das indemnizações a clientes O RGPD é aplicável a todos os setores económicos e a cada organização que detenha ou utilize dados pessoais de cidadãos europeus dentro e fora da UE. Risco Reputacional Danos à marca Perda de confiança dos clientes e colaboradores Desgaste dos consumidores 4 PwC

5 Para além da oferta descrita, a PwC pode apoiar as empresas noutros domínios em torno do RGPD. 3. Que soluções oferecemos? 2 Training Formação específica dirigida aos principais interlocutores da Organização com o objetivo de os sensibilizar para as implicações do RGPD. 1 Road to Compliance Análise end-to-end, suportado por um framework global da PwC, que se inicia com um diagnóstico que abrange as componentes processuais e tecnológicas e que tem por objetivo o desenho de um modelo de resposta às exigências do RGPD. 4 3 Test to Compliance Condução de testes ao modelo definido e implementado, simulando a ocorrência de eventos reais previstos no RGPD, para identificação de eventuais constrangimentos e oportunidades de melhoria. DPO Special Support Apoio operacional às atividades do DPO com foco na gestão dos programas de implementação da Privacidade, na execução de PIA, na análise aos processos de suporte ao RGPD e outras atividades adequadas à realidade da sua organização. Regulação Geral de Proteção de Dados 5

6 4. Como operacionalizamos? Desenho de modelos de privacidade e adaptação dos Sistemas de Informação Classificação de informação pessoal e de operações de processamento 1 Classificação de dados por tipo (pessoais, profissionais, fiscais...) Identificação de informação sensível (saúde, genética...) Identificação dos pressupostos para o processamento (consentimento dos titulares dos dados, execução de contrato com titular dos dados) Sistematização das finalidades de processamento dos dados Classificação de operação de processamento de dados por tipo Condução de análises de risco de privacidade 2 Avaliação dos riscos de privacidade envolvidos nas operações de processamento Aferição do nível de segurança necessário considerando a avaliação dos riscos 3 Definição de medidas de cariz tecnológico e organizacional (incluindo segurança) para o processamento de dados assegurando o respeito pelo RGPD e promovendo a redução do número de operações de processamento Desenho do modelo de relacionamento com os titulares dos dados (clientes e colaboradores), Prestadores de Serviço e Reguladores Definição de políticas internas de proteção de dados Adaptação dos Sistemas de Informação Solicitação da certificação 6 PwC

7 Monitorização e auditoria da conformidade 4 Identificação das obrigações de conformidade Definição e concretização de ações de monitorização Formação Identificação e comunicação das falhas detetadas Documentação das ações efetuadas a dados pessoais e para cumprimento da conformidade 5 Documentação das operações de processamento para simplificação dos processos de consulta Documentação das ações efetuadas com o objetivo de assegurar o controlo sobre as mesmas e a sua melhoria contínua Nomeação de um Encarregado de Proteção de Dados 6 Nomeação de um encarregado de proteção de dados certificado (Data Protection Officer DPO) que pode ser interno ou externo à organização Disponibilização de recursos ao DPO para a execução da função Nota: O DPO deve ser independente dentro da organização. Regulação Geral de Proteção de Dados 7

8 Contactos Gabriela Teixeira Partner Management Consulting Lead Miguel Dias Fernandes Partner Management Consulting PricewaterhouseCoopers /AG - Assessoria de Gestão, Lda. Todos os direitos reservados. PwC refere-se à PwC Portugal, constituída por várias entidades legais, ou à rede PwC. Cada firma membro é uma entidade legal autónoma e independente. Para mais informações consulte