Maio de 2018: estou em compliance com o novo Regulamento Geral de Proteção de Dados?

Transcrição

1 Maio de 2018: estou em compliance com o novo Regulamento Geral de Proteção de Dados? Isabel Ornelas Área de Privacidade, Proteção de Dados e Cibersegurança Vieira de Almeida e Associados

2 O NOVO REGIME LEGAL Atualmente: A partir de 25 de maio de 2018: Lei de Proteção de Dados Pessoais Lei n.º 67/98 de 26 de outubro Regulamento Geral sobre a Proteção de Dados Pessoais (RGPD) Alteração do panorama legal da Privacidade e Proteção de Dados Directiva SRI Digital Single Market Proposta Regulamento eprivacy

3 AS PRINCIPAIS ALTERAÇÕES DO RGPD

4 Âmbito de aplicação do RGPD O RGPD aplica-se aos tratamentos de dados no contexto de atividades de um estabelecimento na UE tratamentos de dados pessoais de titulares residentes na UE, efetuados por responsável ou subcontratante não estabelecido na UE, quando: Estabelecimento do responsável ou do subcontratante Independentemente se tratamento ocorre dentro ou fora da UE O tratamento se dirija à oferta de bens ou serviços a esses titulares de dados O tratamento vise o controlo de um comportamento que tenha lugar na UE

5 Os conceitos Principais novidades Alargamento do âmbito territorial Novo papel para os atores (responsável, subcontratante e titular) Notificação de Data Breaches Nomeação de DPO Registo das atividades de tratamento e PIAs Privacy by Design e by Default Informação e Consentimento Reforço das Medidas de Segurança Reforço do Quadro Sancionatório

6 NOVOS CONCEITOS & CONCEITOS REVISITADOS

7 Os conceitos Dados Pessoais Estabelecimento Principal Titular Autoridade de Controlo Definição de Perfis CONCEITOS GENÉRICOS DO RGPD Responsável e Subcontratante Violação de Dados Pessoais Empresa e Grupo Empresarial Tratamento transfronteiriço Pseudonimização Categorias de Dados Especiais Tratamento

8 Os conceitos - Dados Pessoais Informação relativa a uma pessoa singular Identificável Direta ou indiretamente Identificada Por referência a um identificador Por referência a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social Regras especiais para tratamento de categorias especiais de dados

9 Os conceitos - Tratamento de dados pessoais Qualquer operação ou conjunto de operações sobre dados pessoais efetuada com ou sem meios automatizados utilização conservação recolha registo organização alteração recuperação consulta adaptação comunicação colocação à disposição

10 A RELAÇÃO COM O TITULAR DOS DADOS

11 A relação com os titulares dos dados DIREITO A SER INFORMADO DIREITO DE ACESSO DIREITO À ATUALIZAÇÃO / RETIFICAÇÃO DIREITO AO ESQUECIMENTO DIREITO À PORTABILIDADE DIREITO A SER NOTIFICADO (DATA BREACH)

12 Direitos dos titulares dos dados Direito à informação Obrigações mais apertadas de consentimento Dever geral de transparência Manifestação de vontade livre, específica, informada e explícita + declaração ou ato inequívoco Obrigação de prestação de informação 1 mês a contar da data da receção do pedido (prorrogação para 2 meses tendo em conta a complexidade e número de pedidos) & Obrigação de fornecer ao titular as informações devidas de forma: concisa, transparente, inteligível, e de fácil acesso - Para diferentes tratamentos, consentimentos distintos - Consentimento não se presume deve poder ser demonstrado - Titular pode retirar o consentimento a qualquer momento - Exceções: (i) tratamento necessário para a execução de um contrato em que o titular participe, e (ii) tratamento necessário para o cumprimento de uma obrigação do responsável

13 MAIOR RESPONSABILIDADE DAS EMPRESAS

14 Privacy by design e Privacy by default Medidas destinadas a promover a responsabilização das empresas Preocupação com a proteção de dados deve existir desde o primeiro momento e estar presente ao longo de todo o tratamento O responsável pelo tratamento deve: aplicar as medidas técnicas e organizativas adequadas destinadas a aplicar com eficácia os princípios da proteção de dados (ex.: minimização) garantir que o tratamento é feito de forma a cumprir as regras do RGPD e assegurando que apenas são tratados os dados pessoais efetivamente necessários

15 Maior responsabilidade dos subcontratantes Subcontratantes Devem apresentar garantias de execução de medidas de segurança adequadas a proteger os direitos dos titulares Não podem contratar subcontratantes sem autorização do responsável pelo tratamento Trata os dados em nome e por conta do responsável Prestam assistência ao responsável para assegurar o cumprimento das obrigações decorrentes da realização de DPIAs e da consulta prévia à CNPD Passa a ter responsabilidade direta O subcontratante que em violação do RGPD determine os meios e finalidades do tratamento é tido como responsável pelo tratamento

16 Registos de tratamento e Privacy Impact Assessments Registos das atividades de tratamento Responsável pelo Tratamento conserva registo das atividades de tratamento sob a sua responsabilidade, por escrito, em formato eletrónico, em formato disponibilizável à autoridade de controlo & Subcontratantes também devem conservar um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento Privacy Impact Assessment Uma análise destinada a identificar e minimizar os potenciais riscos para o não-cumprimento de disposições legais Uma avaliação - De certos tipos de tratamento e que pode ser obrigatória em certos casos - CNPD publica lista de operações sujeitas ao requisito de PIA - Existem elementos mínimos que devem constar da avaliação - Se resultar elevado risco responsável consulta a CNPD - CNPD dá orientações por escrito ao responsável e ao subcontratante

17 Encarregado de Proteção de Dados Encarregado de Proteção de Dados Obrigatório para organismos públicos e para entidades cuja atividade principal consista: em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; em operações de tratamento em grande escala de categorias especiais de dados Funções: Aconselhamento geral e informar todos os que tratem os dados das suas obrigações Analisa o risco Controla a conformidade com o RGPD e demais políticas do responsável Mantem um registo das atividades de tratamento Tem um papel preponderante na elaboração de DPIA Coopera com a autoridade de controlo, servindo como ponto de contacto

18 Transferências internacionais de dados pessoais As transferências de dados pessoais só podem ser realizadas no cumprimento do RGPD Critério: nível de proteção adequado Comissão Europeia Caso não tenha sido tomada uma decisão, a transferência de dados só pode ser realizada mediante a apresentação de garantias adequadas: Cláusulas Contratuais-tipo da UE Cláusulas Contratuais-tipo adotadas por uma autoridade nacional e aprovadas pela Comissão Europeia Binding Corporate Rules Privacy Shield

19 Notificação de violações de dados pessoais Subcontratante «Violação de Dados Pessoais» Violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento Responsável pelo Tratamento comunica informa Autoridade de Controlo (CNPD) Sem demora injustificada, no prazo de 72 horas após ter tido conhecimento da violação notifica Titular dos Dados

20 Consequências do não cumprimento do RGPD Não Exaustivo Violação pelo responsável/subcontrat ante de obrigações relativas a: Consentimento para dados de menores Obrigações do Subcontratante Obrigação de Notificação Cooperação com Autoridade Comunicação de violações da proteção de dados Avaliação de Impacto sobre a Proteção de Dados Punidas com coimas até ou 2% do volume anual mundial de negócios C O I M A S 2 tipos de sanções: Punidas com coimas até ou 4% do volume anual mundial de negócios Consoante o montante mais elevado Violação pelo responsável/ subcontratante dos: Princípios gerais de proteção de dados, incluindo regras de consentimento Deveres dos responsáveis perante os titulares (transparência, informação, acesso, esquecimento, portabilidade) Regras de transferências internacionais de dados

21 COMO ESTAR PREPARADO?

22 Como estar preparado? Reconhecer o impacto a vários níveis

23 Como estar preparado? Avaliação Adaptação Definição Organização Formação Criação dos tratamentos existentes (Gap Analysis) às novas regras de estrutura de Governance de processos e procedimentos de Data Privacy Officers de manuais e políticas internas Ter uma abordagem estratégica

24 Definir um calendário M A I O 2 018

25 Isabel Ornelas Área de Privacidade, Proteção de Dados e Cibersegurança Vieira de Almeida e Associados