O RGPD como política pública: desafios e oportunidades

Transcrição

1 Associação Portuguesa de Bibliotecários, Arquivistas e Documentalistas - BAD Jornada "Regulamento Europeu de Proteção de Dados Pessoais e os novos desafios das organizações 27 de setembro de 2017

2 Agenda 1. Contexto do Regulamento Geral sobre a Proteção de Dados 2. Novo quadro legal da proteção de dados 3. O Caminho para a conformidade no sector público 1. O que significa o RGPD para o sector público? 2. Aspetos-chave 3. Desafios do RGPD no setor público 4. Plano de ação para as Organizações públicas Novo Regulamento Geral sobre Proteção de Dados 2

3 1. CONTEXTO DO REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS 3

4 Contexto do Regulamento Geral sobre a Proteção de Dados 1. Diretiva 95/46/CE é um marco histórico mas encontra-se hoje desatualizada (a internet estava no início) - Vivemos num novo contexto digital 2. As Tecnologias de Informação (TI) sofreram um desenvolvimento exponencial desde então: a Diretiva não captura todas as formas de tratamento de dados pessoais hoje em curso 3. Falta de confiança dos consumidores: desconhecimento de que os seus dados estão a ser tratados 4. Passo essencial para a Agenda Digital para a Europa (criação do Mercado Único Digital) 4

5 Novo quadro legal da proteção de dados Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE Regulamento Geral sobre a Proteção de Dados RGPD Entrou em vigor a 24 de Maio de 2016 Aplicável a partir de 25 de Maio de 2018 Novo Regulamento Geral de Proteção de Dados 5

6 Contexto do Regulamento Geral sobre a Proteção de Dados Pacote de proteção de dados: 1. Regulamento (UE) 2016/679 do Parlamento e do Conselho (relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados) 2. Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais e à livre circulação desses dados) 3. Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho (relativa à utilização dos dados dos registos de identificação dos passageiros [PNR] para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave) 4. Proposta de Regulamento sobre privacidade nas comunicações eletrónicas (e Privacy) - Prevê a revogação do Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, atualmente em vigor; procura alinhar as normas para as comunicações eletrónicas com o Regulamento Geral sobre a Proteção de Dados, alargando as regras aos novos prestadores de serviços de comunicações eletrónicas tais como WhatsApp, Facebook, Messenger, Skype, etc 6

7 Novo quadro legal da proteção de dados Atores do novo RGPD Titular dos dados : pessoa singular identificada ou identificável Responsável pelo Tratamento : pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais "Subcontratante : pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trata os dados pessoais por conta do Responsável pelo Tratamento destes Autoridade de controlo : autoridade pública independente, responsável pela fiscalização da aplicação do Regulamento 7

8 2. O CAMINHO PARA A CONFORMIDADE NO SECTOR PÚBLICO 8

9 I. Conceito de dados pessoais Que dados? Diretiva 95/46/CE Qualquer informação relativa a uma pessoa singular identificada ou identificável; é considerado identificável todo aquele que possa ser identificado, direta ou indiretamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social RGPD Informação relativa a uma pessoa singular identificada ou identificável; é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular 9

10 I. O que significa o RGPD para o sector público? O RGPD apresentará um novo conjunto de requisitos aos Organismos e Autoridades públicas em torno da gestão da privacidade dos dados sobre qualquer pessoa que seja classificada como cidadão da UE. Abrangerá cidadãos, clientes, fornecedores, funcionários e voluntários: - Qualquer cidadão da UE e onde um Organismo ou Autoridade pública contenha dados relacionados com a privacidade. 10

11 II. Aspetos-chave do RGPD 1. O RGPD coloca o ónus nas organizações para introduzir medidas mais inteligentes em relação à proteção e controlo dos dados, incluindo a forma como as informações pessoais identificáveis (PII) dos cidadãos da UE são recolhidas, conservadas e partilhadas; 2. Requisitos significativamente novos: a ideia de "privacidade desde a conceção". O Regulamento determina que os responsáveis pelo tratamento considerem a conformidade desde o momento inicial de desenvolvimento do produto. Obrigação de aplicação das medidas técnicas e organizativas adequadas (como a pseudonimização); 3. Obrigatoriedade de nomeação de um Encarregado de Proteção de Dados (DPO); 4. Quadro sancionatório agravado. Coimas podem ir até 4% do volume de negócios mundial anual (destinado a empresas) ou 20 milhões de euros. Este valor chamou a atenção de muitos Organismos públicos que, num quadro de redução orçamental, veriam dificuldade em encontrar grandes quantidades de dinheiro; 5. Dado que esta é uma política pública impulsionada pela UE, há uma expectativa de que as Organizações do sector público liderem e apontem o caminho para adotar e implementar as novas disposições relativas à privacidade dos dados pessoais. 11

12 Desafios III. Desafios do RGPD no setor público Por que ocorrem? Encontrar todos os dados sobre "pessoas" (cidadãos, funcionários, contratados, etc.) Os dados são mantidos em diferentes sistemas e formatos As soluções multicanal e de relação com o cidadão criam silos de dados Necessidade de inclusão das pegadas digitais Apoio aos pedidos de acesso do titular dos dados Promover o consentimento O direito ao esquecimento Encontrar TODOS os dados, não apenas repetitivos Dados dentro e fora dos Organismos públicos O que é permitido ser feito com os dados, e por quem? Que elementos de dados podem ou não ser usados? Os dados estruturados também são potencialmente incluídos Entender os requisitos e restrições do direito ao esquecimento Compreender a frequência com que acontecerá e levará a tomada de decisão Abordagem manual vs automatizada para resolver este desafio Como reportar (falhas na) conformidade? 12

13 IV. Plano de ação para as Organizações públicas A. Governança da dados e inormações Etapa Ações 1 Análise detalhada do Regulamento 2 3 Envolver as equipas jurídicas e de TI (segurança de dados) o mais cedo possível Identificar o nível e comprometimento, o envolvimento e as medidas da Direção (Quadros Superiores) 4 Identificar Parceiros que possam auxiliar 5 Consciencializar a equipa, a organização e a comunidade 6 Comunicação frequente com a equipa, a organização e a comunidade 13

14 IV. Plano de ação para as Organizações públicas B. Segurança dos dados/ti Etapa 1 Ações Revisão e análise dos dados dos cidadãos, funcionários, fornecedores, voluntários 2 Identificar, definir os perfis e classificar esses dados 3 Mapear os dados (v.g, processo de Data Landscaping) 4 Criar uma abordagem de classificação do risco 5 Realizar análise sobre a proliferação de dados dentro e fora da Organização 6 Procurar recursos adicionais de apoio 14

15 Exemplo Data Landscaping Fonte: DGAE, DSCSR,

16 Estratégia? Alinhamento com as Políticas Europeias "The digital future of Europe can only be built on trust. With solid common standards for data protection, people can be sure they are in control of their personal information. And they can enjoy all the services and opportunities of a Digital Single Market. We should not see privacy and data protection as holding back economic activities. They are, in fact, an essential competitive advantage. Andrus Ansip, Vice-President for the Digital Single Market on the Agreement on Commission's EU data protection reform will boost Digital Single Market Bruxelas, 15 de dezembro de 2015 DGAE, DSCSR,

17 Porquê começar agora? O tempo está a contar (25/05/2018) É um problema desafiador e que levará tempo para resolver A dimensão de uma possível sanção é significativa Considerando os apertados orçamentos das Organizações públicas, um bom plano para implementação do RGPD ajudará a atenuar as pressões financeiras. Quanto mais tempo as Organizações públicas atribuem ao RGPD, maior a mitigação do impacto. 17

18 Referências: Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) Grupo de Trabalho do Artigo 29º. ( WP29 ) 18

19 Obrigado pela atenção! 19