RGPD tudo o que precisa saber

Neste artigo vamos abordar de uma forma simples e racional o que é o RGPD e o que tem de saber sobre este regulamento, assim como responder as questões que tem vindo a ser colocadas pelos nossos clientes.

RGPD Principais alterações

  • Âmbito de aplicação – Alargamento de aplicação territorial
  • Princípio da accountability , também extensível à subcontratação
  • Introdução de novos conceitos (v.g., pseudonimização , perfis, limitação do tratamento, estabelecimento principal)
  • Mecanismo de balcão único one stop shop OSS PbD , Pbd , DPIA
  • Reforço importante das exigências de segurança
  • A figura do encarregado de protecção de dados DPO
  • Notificação de violações data breach
  • Procedimentos de certificação
  • Modelo de supervisão

Conceitos no RGPD

  • Dados pessoais ( Artigo 4.º, n.º 1)
  • Tratamento de dados pessoais
  • Profiling
  • Pseudonimização
  • Limitação do tratamento
  • Consentimento
  • Violação de dados pessoais
  • Tratamento transfronteiriço

Questões frequentes do RGPD

O que são dados pessoais?

Qualquer informação , de qualquer natureza, independentemente do suporte , incluindo som e imagem, relativa a uma pessoa identificada ou identificável.

O que se entende por identificável?

É identificável a pessoa que direta ou indiretamente se possa identificar, por referência a um identificador, como por ex.: nome, um número, dados de localização, identificadores por via eletrónica ou um ou mais elementos da sua identidade física, fisiológica, genética, mental, económica, cultural ou social

O que é um tratamento de dados pessoais?

Qualquer operação ou conjunto de operações sobre dados pessoais, efetuada com ou sem meios automatizados.

  1. Recolha
  2. Registo
  3. Organização
  4. Conservação
  5. Destruição
  6. Alteração
  7. Recuperação
  8. Transmissão
  9. Difusão
  10. Interconexão
  11. Comparação
  12. Apagamento
  13. Bloqueio

O que são dados especiais (sensíveis) perante o RGPD?

Dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou sindicais, dados genéticos, dados biométricos com o único propósito de identificação de uma pessoa singular, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa singular.

O que é o profiling perante o regulamento?

Definição de perfis, qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses , fiabilidade, comportamento, localização ou deslocações;

Em que situação tenho que fazer uma Avaliação de Impacto da Privacidade (PIA)?

Para cada tratamento de:

  • dados especiais (sensíveis + …)
  • Profilling
  • monitorização em zonas públicas
  • deployment de novas tecnologias
Nota: deve promover a elaboração de uma avaliação de impacto na privacidade.

Os pedidos de autorização prévia acabam?

Deve consultar a CNPD antes do processamento ( Art . 36 GDPR), se o PIA indicar que o processamento resultaria num risco elevado e não poder tomar medidas para mitigar o risco. As DPAs podem publicar ” black ” e white lists ” com os dados cujo processamento exigem ou não um PIA.

Posso usar um sistema biométrico para controlo de acesso?

Artigo 9.o Tratamento de categorias especiais de dados pessoais

É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca , dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

O disposto no n.o 1 não se aplica se se verificar um dos seguintes casos:

a) Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se o direito da União ou de um Estado Membro previr que a proibição a que se refere o n.o 1 não pode ser anulada pelo titular dos dados;

Quais as funções do encarregado de proteção de dados (DPO)?

O DPO deve:

  • Assegurar a conformidade da proteção de dados na sua instituição;
  • Assegurar que os controladores e as pessoas em causa sejam informados sobre os seus direitos, obrigações e responsabilidades;
  • Dar conselhos e recomendações à instituição sobre a interpretação ou aplicação das regras de proteção de dados;
  • Criar um registo dos tratamentos existentes no interior da instituição e notificar a CNPD dos que apresentam riscos específicos (os chamados controlos prévios);
  • Tratamento de consultas ou reclamações a pedido da instituição, do responsável, pelo individuo, ou por sua própria iniciativa;
  • Cooperar com a CNPD (responder aos seus pedidos de inquéritos, tratamento de queixas e inspeções).

Quais o perfil do encarregado de proteção de dados?

Independente (análogo ao que se passa nas DPA)

Deve responder diretamente ao CA.

Não pode ser ele responsável por nenhum processamento de dados pessoais (ex. RH)

Deve ter um contrato permanente com a instituição

Deve ser nomeado por um período razoável de tempo (4 5 anos)

Deve gerir uma equipa de profissionais, a instituição pode/deve nomear também coordenadores de proteção de dados por área funcional.

Deve poder gerir o seu orçamento

Deve poder aceder a todos os dados e seus tratamentos e questionar os responsáveis pelos tratamentos

A minha instituição precisa de um encarregado de proteção de dados?

Será obrigatório quando o tratamento for efetuado por uma autoridade ou organismo público

Deve ser nomeado um DPO se as atividades principais do responsável pelo tratamento dos dados consistirem em:

Operações de tratamento que exigem uma monitorização em grande escala, regular e sistemática das pessoas em causa

Tratamento em grande escala de categorias especiais de dados pessoais

Quais as novas regras para o consentimento?

O responsável pelo tratamento deve poder demonstrar que a pessoa em causa deu o seu consentimento explícito ao tratamento dos seus dados pessoais

O consentimento para menores de 13 (??) anos deve ser dado pelos pais ou tutor da criança, e verificável (artigo 8). Os controladores devem ser capazes de provar que o consentimento foi dado ( opt in) e o consentimento pode ser retirado.

As organizações devem provar claramente, a pedido de qualquer órgão autorizado, consentimento documentado e por que razão os dados estão a ser usados

O que significa o direito ao esquecimento?

O artigo 17.º refere se ao direito de apagamento, muitas vezes referido como o direito ao esquecimento, quando o responsável pelo tratamento, mediante pedido, apague os dados pessoais da pessoa em causa e sem atrasos indevidos

A eliminação deve ser efetuada se o titular dos dados retirar o seu consentimento ou se os dados estiverem a ser tratados ilegalmente. Existem isenções, por exemplo, para obrigações regulamentares ou legislativas adequadas

Acontece bastante atualmente, onde os dados pessoais são recolhidos por uma razão válida e, de seguida, são usado para fins de marketing sem o desejo expresso do indivíduo

Qual o valor das coimas?

Até 20 milhões de euros ou 4% do volume de negócios anual global, consoante o que for maior para os artigos 5.o, 6.o, 7.o e 9.o, 12.o a 22.o, 44.o 49.o

Até 10 milhões de euros, ou 2% do volume de negócios anual global, consoante o que for maior para os artigos 8.o, 11.o, 25.o 39.o, 42.o e 43.o

É provável que as organizações que tomam medidas abrangentes e verificáveis para proteger a PII que as multas sejam menores ou significativamente reduzidas

Para um incidente de violação, é possível cobrar multas múltiplas. Por exemplo, se as PII forem roubadas e houver potencial de prejuízo para as pessoas em causa, as infracções poderão abranger medidas de protecção insuficientes, mas também se as pessoas em causa não forem notificadas num prazo razoável

Quando devo comunicar um data breach

O artigo 33.º exige que a violação de dados pessoais seja comunicada “… sem demora

injustificada e, sempre que possível, o mais tardar 72 horas após ter tomado conhecimento desse facto”. A não observância desta obrigação deve ser explicitada à autoridade de supervisão com as razões

Sempre que tal incumprimento seja “[…] susceptível de acarretar um risco elevado para os direitos e liberdades das pessoas …”, o responsável pelo tratamento notificará a pessoa em causa em que a comunicação deve “… descrever em linguagem clara e transparente a natureza dos dados pessoais e conter pelo menos as informações e medidas para mitigar… “

Preciso rever os tratamentos já notificados e autorizados?

Sim! Deve revisitar:

  • Formas de consentimento
  • Medidas de segurança
  • Notificação de privacidade
  • Contratos de outsourcing
  • Direito ao esquecimento

O que se entende por transparência?

A transparência é mencionada em vários artigos e é um princípio fundamental do RGPD, em relação ao qual as organizações devem ser capazes de provar que possuem as medidas organizacionais, técnicas e processuais necessárias . Os controladores são obrigados a manter um registro das atividades de processamento sob sua responsabilidade

O artigo 30.º contém uma lista de requisitos e ligações ao artigo 32.º, em que o responsável pelo tratamento deve demonstrar que as medidas de segurança técnicas e organizativas são adequadas para proteger os dados

O profilling continua a ser possível?

Sim, no entanto:

As pessoas têm o direito de se opor ao uso de perfis. O profilling automatizado que afecta significativamente a pessoa em causa pode, na maioria dos casos, só ser possível quando é necessário para a execução de um contrato, uma obrigação legal ou através do consentimento explícito da pessoa em causa.

O GDPR também proíbe a elaboração de perfis com base em dados pessoais sensíveis e a utilização sistémica de profilling requer uma avaliação prévia do impacto da proteção de dados.

Devo revisitar os contratos de o utsourcing

Sim, deve efetuar:

Levantamento de todos os contratos existentes com terceiros que envolvem o tratamento dos dados

Levantamento de todos os serviços que envolvam dados pessoais e que recorrem a cloud computing ou ao alojamento de dados

E os pedidos de acesso aos dados?

Atualizar os procedimentos e planear como vai tratar os pedidos dentro dos novos prazos e fornecer qualquer informação adicional.

O que é a limitação do tratamento Artigo 4.º, n.º 3)

«Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

Precisa de consultoria especializada?

Este site usa cookies e guarda os seus dados pessoais para melhorar a sua experiência.