RGPD - Regulamento Geral de Proteção de Dados

Transcrição

1 RGPD - Regulamento Geral de Proteção de Dados 13 setembro 2017 O conteúdo deste documento é confidencial e não poderá ser distribuído, reproduzido no todo ou em parte, sem o prévio consentimento da PKF Portugal e da Protect Data Consulting

2 Temas Enquadramento Regulamento Geral de Proteção de Dados (RGPD) Projeto de Privacidade Áreas de intervenção Metodologia / Ferramentas Encarregado de Proteção de Dados (DPO) Proposta AHP Próximos passos PKF e Protect Data Consulting Q&A 2

3 Enquadramento O Regulamento Geral sobre a Proteção de Dados (RGPD) entrou em vigor, de forma simultânea, no dia 25 de Maio de 2016, em todos os Estados membros da União Europeia. Sem necessidade de transposição impõe uma disciplina totalmente uniforme entre os vários Estados membros a partir de Maio de 2018 (data em que termina o período transitório previsto de dois anos). Objetivos gerais: Harmonizar a legislação de Proteção de Dados na União Europeia Tornar o regime jurídico mais claro para as organizações e para os titulares dos dados Adaptar as regras de privacidade à nova era digital e criar confiança nos meios digitais 3

4 Enquadramento Principais impactos nas Organizações: Alterações significativas na forma como as organizações efetuam a recolha, tratamento e eliminação dos dados pessoais de colaboradores e clientes. Aplicação em todos os canais que suportam as aplicações, nomeadamente: canais de vendas, relação com prestadores e fornecedores e sistemas de informação. Nota: O Regulamento no seu todo excetuando, nesta fase, organizações com menos de 250 trabalhadores da obrigação do Registo das atividades de tratamento (Artº 30) 4

5 Sensibilização para o RGPD Fonte: SAS Institute maio 2017 ~350 respostas 5

6 Regulamento Geral de Proteção de Dados (RGPD)

7 O que são dados pessoais São os dados relativos a uma pessoa identificada ou, pelo menos, identificável 7

8 Quem são os titulares dos dados Dados de Colaboradores Candidatos Trabalhadores Prestadores de Serviços Dados dos Clientes On-line Físico Nota: Não abrange o tratamento de dados pessoais relativos a pessoas coletivas, incluindo contactos da pessoa coletiva (Considerando 17) 8

9 Em que consiste o tratamento de dados? Organização Utilização Conservação Colocação à disposição Registo Tratamento de Dados Adaptação Alteração Recuperação Consulta Recolha 9

10 Novidades do RGPD com impacto no Setor Reforço do quadro sancionatório Novos direitos dos titulares Novas exigências relativas ao consentimento e ao direito à informação Reforço dos Princípios dos Tratamentos dos dados Pessoais

11 Novidades do RGPD com impacto no Setor Encarregado de Proteção de Dados (DPO) Proteção de Dados desde a conceção e por defeito (Privacy by design and by default) Avaliações de Impacto (PIA) Segurança e notificação de violação da Dados Pessoais (Data Breach)

12 Novidades do RGPD com impacto no Setor Novas obrigações relativamente a subcontratantes Princípio da Accountability Registo do Tratamento de Dados Profiling

13 O RGPD é transversal a todas as áreas Governance Recursos Humanos Clientes Marketing IT Fornecedores Relacionamento com Autoridade de Proteção de Dados (CNPD)

14 Projeto de Privacidade

15 A importância de desenvolver um projeto de privacidade CONFIANÇA VALOR INOVAÇÃO COMUNICAÇÃO CONFORMIDADE Aumento da confiança dos Clientes induz uma maior apetência para partilharem informação e experiências Melhor comunicação e fiabilidade dos dados existentes facilita um aumento da taxa de conversão de clientes Processos e procedimentos orientados para a transparência e rigor da informação Sensibilização e formação dos colaboradores para a importância da privacidade dos dados Obter a conformidade com o regulamento e evitar a aplicação de coimas

16 Áreas de Intervenção LEGAL Impacto do regulamento nas organizações, novas obrigações ORGANIZAÇÃO PROCESSOS TECNOLOGIA PESSOAS Sistemas de Sensibilização e Políticas e Novas funções, Informação envolvimento procedimentos responsabilidades alinhados com da gestão de de tratamento e formação dos os requisitos do topo de dados intervenientes RGPD IMPLEMENTAÇÃO Plano de ação, implementação e controlo

17 Objetivos gerais de um projeto de privacidade Caracterização do tratamento de dados pessoais efetuados pelos Hotéis Análise do nível de adequação aos instrumentos legais Identificação do grau de conformidade dos controlos existentes, gaps, risco e potenciais problemas Avaliações de Impacto (PIA) Sistematização das recomendações e das iniciativas Implementação das medidas corretivas/de remediação Verificação e Controlo das medidas implementadas

18 Encarregado de Proteção de dados (DPO) Funções do DPO (Artº 39). Informa e aconselha sobre as obrigações e as disposições em matérias de proteção de dados Controla a conformidade com o Regulamento, e com as políticas de proteção de dados Formação e Auditorias Presta aconselhamento nas avaliações de impacto do Artº 35 Recomendação de ser consultado: se deve ou não existir PIA qual a metodologia a ser usada se deve ser levada a cabo internamente ou externamente que salvaguardas técnicas e organizativas a adotar para mitigar riscos se a PIA foi desenvolvida corretamente e se as conclusões estão em conformidade com o Regulamento. Coopera com a autoridade de controlo Estabelece a ligação com os titulares dos dados Tarefas mínimas - podem ser-lhe atribuídas novas tarefas, por exemplo, o registo do tratamento de dados, ou a documentação dos incidentes de segurança Deve nortear a sua atuação pela avaliação do risco

19 Encarregado de Proteção de dados (DPO) DPO Obrigatório? Autoridades Públicas / fins de interesse público Atividade principal consista no controlo regular e sistemático dos titulares em larga escala Critério Quantitativo vs Critério de avaliação do Risco Atividade principal consista no tratamento de categorias especiais de dados ou de dados pessoais relacionados com condenações penais Não sendo obrigatório, é recomendável? Porquê? Um subcontratante pode ser obrigado a ter DPO e os responsáveis pelo tratamento de dados cujos dados ele trata não sejam obrigados. Justificar sempre a decisão

20 Proposta AHP Contacte:

21 Metodologia Estruturada em etapas e fases: Etapa 1 - ASSESSMENT E RELATÓRIO Definição do perímetro de análise e apuramento do nível de conformidade com os requisitos do RGPD Fase 1.1 Preparação e Pré-Análise Fase 1.2 Diagnóstico Fase 1.3 Relatório e Plano de Adequação Etapa 2 - IMPLEMENTAÇÃO E CONTROLO Ações para garantir a conformidade e acompanhamento do cumprimento do regulamento, formação e auditoria Fase 2.1 Implementação Fase 2.2 Controlo

22 Metodologia Etapa 1 - ASSESSMENT E RELATÓRIO Estimativa de Prazo Fase Preparação e Pré-Análise Fase 1.2 Diagnóstico Fase 1.3 Relatório e Plano de Adequação Plano de Trabalho Calendário de Entrevistas Reunião de kick-off Matriz de controlo/check list de cumprimento normativo Inventário de tratamento de dados Relatório Preliminar Apresentação Relatório Final Plano de Adequação Até 2 meses

23 Metodologia Etapa 2 IMPLEMENTAÇÃO E CONTROLO Estimativa de Prazo Fase 2.1 Implementação Templates de natureza legal Guidelines práticas Formação > 2 meses Fase 2.2 Controlo Emissão de garantia de implementação das recomendações

24 Ferramentas Ferramenta de auto-avaliação ahp.data-protection.pt

25 Próximos passos 1 Solicita orçamento: [email protected] HOTEL ou 3 Envia o questionário (matriz de investimento) Responde com questionário preenchido Devolve com valor do orçamento final 2 4 GRUPO HOTELEIRO 5 Informa do interesse em receber proposta para execução do Projeto de Privacidade 7 Apresenta proposta de trabalho Adjudica ou Rejeita

26 PKF e Protect Data Consulting

27 PKF Portugal Fundada em 1969, pelas firmas da Austrália, Canadá, Reino Unido e Estados Unidos da América 5 regiões 150 países 400 localizações partners staff USD 1,04 mil milhões

28 PKF Portugal Em Portugal está representada por 5 sociedades, com escritórios em Lisboa, Porto e Funchal: PKF & Associados SROC PKF Portugal PKF Sistemas de Informação PKF Serviços Partilhados PKF Outsourcing Nos PALOP marca presença com escritórios em: Angola Moçambique Cabo Verde 150 Partners e Colaboradores Áreas de atuação: Consultoria de Gestão Tecnologias de Informação Recursos Humanos e Formação Assessoria Contabilística e Outsourcing de Processos Auditoria (Assurance) Assessoria Fiscal Corporate Finance Área de especialização: Financial Services

29 Clientes

30 Projetos RGPD e Certificações Auditoria de Proteção de Dados, assessoria em matéria de proteção de dados Assessoria em matéria de proteção de dados pessoais Auditoria de Proteção de Dados, assessoria em matéria de proteção de dados Assessoria em matéria de proteção de dados pessoais Auditoria de Proteção de Dados, assessoria em matéria de proteção de dados Assessoria em matéria de proteção de dados pessoais LCS, SA Auditoria de Proteção de Dados, assessoria em matéria de proteção de dados Assessoria em matéria de proteção de dados pessoais Assessoria em matéria de proteção de dados pessoais

31 Q&A