Este documento fornece uma introdução sobre como adaptar uma organização ao Regulamento Geral de Proteção de Dados (RGPD) da União Europeia. Resume os principais pontos como: - O que é o RGPD e como se aplica a todas as organizações que tratam dados pessoais de residentes da UE; - Os novos conceitos, princípios e direitos introduzidos pelo RGPD, como consentimento, minimização de dados e privacidade por defeito; - Os passos que uma organização deve tomar para se adaptar ao RGPD, como identificar

1. COMO ADAPTAR
A SUA EMPRESA AO RGPD
Pedro Fonseca

2. PEDRO FONSECA

3. PEDRO FONSECA
O tipo dos
vídeos do RGPD

4. PROGRAMA DE HOJE
• O que é o RGPD
• O incumprimento e as coimas

5. O RGPD NA MINHA
ORGANIZAÇÃO
• Os novos conceitos
• Os princípios e os direitos
• Os deveres
• O que muda
• Como adapto a minha organização
• Próximos passos

6. O QUE É O
RGPD?

7. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
regula a proteção das pessoas singulares
nos que diz respeito ao
• tratamento de dados pessoais
• e à livre circulação desses dados

8. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Já está em vigor e passa a ser de
aplicação obrigatória a 25 de maio de
2018
Revoga a Diretiva Comunitária 95/46/CE

9. O QUE É O
RGPD?

10. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Introduz, novos princípios e conceitos, novos
direitos para os titulares de dados que
significam novos deveres para as empresas
que com eles lidam.
A avaliação de impacto, a privacidade na
conceção de novos produtos ou serviços
com dados e a privacidade por defeito, as
notificações das violações de segurança, e a
figura do encarregado de proteção de
dados.

11. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Será um trabalho tripartido.
Envolve equipas de compliance, direito,
e informática

12. GLOSSÁRIO RGPD
Accountability, Consentimento, Dados
Pessoais, DPO - Data Protection Officer,
Limitação do Tratamento, Data
Minimisation, Oposição ao Profiling,
Privacy by Design, Privacy by Default,
Impacto, Data Processor, Tratamento,
Violação de Dados Pessoais, Violação de
Segurança, Notificação, etc….

13. GLOSSÁRIO RGPD
Dados Pessoais

14. GLOSSÁRIO RGPD
Dados Pessoais
Consentimento

15. GLOSSÁRIO RGPD
Dados Pessoais
Consentimento
Tratamento

16. GLOSSÁRIO RGPD
Dados Pessoais
Consentimento
Tratamento
Direitos dos titulares

17. GLOSSÁRIO RGPD
Dados Pessoais
Consentimento
Tratamento
Direitos dos titulares
Violação de dados pessoais

18. GLOSSÁRIO RGPD
Dados Pessoais
Consentimento
Tratamento
Direitos dos titulares
Violação de dados pessoais
Pseudonimização e encriptação

19. GLOSSÁRIO RGPD
Dados Pessoais
Consentimento
Tratamento
Direitos dos titulares
Violação de dados pessoais
Pseudonimização e encriptação
Encarregado Proteção de dados

20. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
As coimas poderão:
• atingir 4% da faturação anual ou
• 20 milhões de euros
A CNPD estará atenta!

21. O QUE MUDA COM O RGPD
ONDE SE APLICA O RGPD
A QUEM SE APLICA O RGPD

22. A QUEM SE APLICA O
RGPD?
A todas as pessoas singulares e coletivas
que efetuem tratamento de dados
pessoais de residentes na União
Europeia.
Estas entidades podem ser aquelas que
determinam as finalidades e os meios de
tratamento de dados pessoais, mas
também as que efetuam esse tratamento
em regime de subcontratação.

23. ONDE SE APLICA O
RGDP?
O RGDP aplica-se em todo o território
da União Europeia, contudo com uma
importante inovação, pois se uma
empresa estiver estabelecida fora da
geografia da UE, isto é, sem presença na
UE mas a realizar serviços ou negócios
que envolvam algum género de
tratamento de dados pessoais, o
Regulamento é aplicável.

24. O RGPD APLICA-SE A
TODOS POR IGUAL?
Não.
A aplicação do regulamento aplica-se a
todos, mas dependendo da natureza do
processamento, da avaliação do impacto
ou do tamanho da organização, algumas
exceções podem ser aplicadas.

25. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
O tipo e a quantidade de dados pessoais
que podemos processar depende do
motivo (razão jurídica usada) e o que
desejamos fazer com os dados.
Devemos respeitar várias regras:

26. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Os dados pessoais devem ser
processados de forma legal e
transparente, garantindo justiça para
com os indivíduos cujos dados pessoais
você está processando

27. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos ter fins específicos para o
processamento dos dados e devemos
indicar esses propósitos para os titulares
dos dados ao recolher os dados
pessoais.
Não podemos simplesmente recolher
dados pessoais para fins indefinidos
("limitação de propósito").

28. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos recolher e processar apenas os
dados pessoais necessários para cumprir
esse objetivo ("minimização de dados")

29. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos garantir que os dados pessoais
são precisos e estão atualizados, tendo
em conta os propósitos para os quais
são processados ("precisão").

30. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Não podemos usar os dados pessoais
para outros fins que não são compatíveis
com o propósito original da recolha.

31. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos garantir que os dados pessoais
são armazenados por um período não
superior ao necessário para os fins para
os quais foram recolhidos ("limitação de
armazenamento").

32. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos adotar as medidas técnicas e
operacionais adequadas que assegurem
a segurança dos dados pessoais,
incluindo a proteção contra o
processamento não autorizado ou ilegal
e contra perdas, destruições ou danos
acidentais, usando tecnologia
apropriada ("integridade e
confidencialidade").

33. POR QUANTO TEMPO OS DADOS
PODEM SER MANTIDOS E É
NECESSÁRIO ATUALIZÁ-LOS?
Devemos armazenar dados pelo menor
tempo possível.
Deve estabelecer limites de tempo para
apagar ou rever os dados armazenados.
Também devemos garantir que os dados
mantidos sejam precisos e atualizados.

34. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?

35. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas
ou filosóficas

36. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas
ou filosóficas
• filiação sindical

37. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas
ou filosóficas
• filiação sindical
• dados genéticos/ biométricos

38. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas
ou filosóficas
• filiação sindical
• dados genéticos/ biométricos
• dados relacionados à saúde

39. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas ou
filosóficas
• filiação sindical
• dados genéticos/ biométricos
• dados relacionados à saúde
• dados relativos à vida/orientação sexual

40. O QUE MUDA?
• One document to rule them all
•

41. O QUE MUDA?
• One document to rule them all
• O consentimento
•

42. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis
•

43. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade)
•

44. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade)
• Documentação associada ao tratamento
•

45. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade)
• Documentação associada ao tratamento
• DPO - Encarregado Proteção de Dados
•

46. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade)
• Documentação associada ao tratamento
• DPO - Encarregado Proteção de Dados
• Notificações de violações

47. RESUMINDO
Se o teu negócio recolhe, guarda ou usa dados de
cidadãos europeus, então tens de:
•

48. RESUMINDO
Se o teu negócio recolhe, guarda ou usa dados de
cidadãos europeus, então tens de:
• Informar quem és, porque recolhes estes dados, por
quanto tempo e a quem os irás disponibilizar
•

49. RESUMINDO
Se o teu negócio recolhe, guarda ou usa dados de cidadãos
europeus, então tens de:
• Informar quem és, porque recolhes estes dados, por
quanto tempo e a quem os irás disponibilizar
• Obter um consentimento claro antes da recolha dos dados
•

50. RESUMINDO
Se o teu negócio recolhe, guarda ou usa dados de cidadãos
europeus, então tens de:
• Informar quem és, porque recolhes estes dados, por
quanto tempo e a quem os irás disponibilizar
• Obter um consentimento claro antes da recolha dos dados
• Permitir o acesso aos dados
•

51. RESUMINDO
Se o teu negócio recolhe, guarda ou usa dados de cidadãos
europeus, então tens de:
• Informar quem és, porque recolhes estes dados, por
quanto tempo e a quem os irás disponibilizar
• Obter um consentimento claro antes da recolha dos dados
• Permitir o acesso aos dados
• Permitir que os possam levar
•

52. RESUMINDO
Se o teu negócio recolhe, guarda ou usa dados de cidadãos
europeus, então tens de:
• Informar quem és, porque recolhes estes dados, por
quanto tempo e a quem os irás disponibilizar
• Obter um consentimento claro antes da recolha dos dados
• Permitir o acesso aos dados
• Permitir que os possam levar
• Permitir que os possam eliminar
•

53. RESUMINDO
Se o teu negócio recolhe, guarda ou usa dados de cidadãos
europeus, então tens de:
• Informar quem és, porque recolhes estes dados, por
quanto tempo e a quem os irás disponibilizar
• Obter um consentimento claro antes da recolha dos dados
• Permitir o acesso aos dados
• Permitir que os possam levar
• Permitir que os possam eliminar
• Informar quando existir uma violação de segurança

54. PERGUNTA-TE
• Sabes onde estão os dados pessoais?
• Tens um registo organizado?
• Temos consentimento dos titulares dos dados com os
requisitos do RGPD?
• Os sistemas garantem a confidencialidade dos
dados?
• Conseguimos detetar qualquer violação dos mesmos?
• Enquanto processador de dados por conta de
terceiros, cumprimos o RGPD?

55. ALGUMA COISA TINHA
DE SER FEITA

56. DÚVIDAS E CAFÉ?
Depois:
• RGPD e os próximos 7 passos

57. GOOGLE AND THE GDPR
Audits and certifications
• ISO 27001 (Information security management)
• ISO 27017 (Cloud security)
• ISO 27018 (Cloud privacy)
• SSAE16/ISAE 3402
• Privacy Shield
• FedRAMP
• PCI DSS (Payment Card Industry Data Security Standard)

58. GOOGLE AND THE GDPR
Contractual protections
• Data Processing and Security Terms (or
Data Processing Amendments)
• European Model Contract Clauses to
address EU data-transfer requirements
• Business Associate Agreement addressing
requirements under the U.S. Health
Insurance Portability and Accountability Act

59. GOOGLE AND THE GDPR
Google’s commitment to GDPR
• Updated terms
• Robust safeguards
• Incident response
• User transparency
• International transfers
• Privacy practices

60. EU NÃO SOU A GOOGLE
• serviços
• comércio

61. 1 - DETECTAR FONTES
• Fornecedores
• Clientes
• Colaboradores
• …

62. 2 - DADOS PESSOAIS?
• Tenho?
• Preciso?
• Existem dados sensíveis?
• Tenho necessidade de um DPO?

63. 3 - COMO RECOLHO?
• Tenho consentimento?
• Outro fim previsto no Artigo 6º?
(licitude)

64. CONHECE OS DADOS
Mostra um conhecimento da informação
recolhida (por exemplo nome, morada,
email, dados bancários, fotos, endereços
IP) a até se há dados sensíveis, onde são
obtidos, de que forma são usados e com
quem são partilhados.

65. O QUE FAZER?
Começa a alterar os sites/formulários por
forma a informar de forma clara:
• o consentimento,
• e o tratamento que darás aos dados

66. IDENTIFICAR OS
CONSENTIMENTOS
Identifiquem os diversos consentimentos
que utilizam.
O consentimento para fins de marketing
é muito diferente do consentimento para
serviço pós-venda.

67. EXEMPLO DE CONSENTIMENTO
Os meus dados pessoais recolhidos serão tratados, mediante o meu
consentimento, pela (nome da empresa) para efeitos de contacto e informação
relativos a produtos de _______, ________ e ______, sendo conservados durante o
período em que mantiver relações com esta e não revogar o meu consentimento.
O meu consentimento poderá ser retirado, a qualquer momento, contactando a
(nome da empresa) para ***[endereço de email]. Através deste contacto, poderei
ainda solicitar o acesso, rectificação, apagamento, portabilidade, limitação ou
oposição ao tratamento.
Consinto no tratamento dos meus dados pessoais nos termos acima descritos?
Sim Não

68. DESCREVAM PROCESSOS
Pode parecer complicado, mas:
- descrevam o objetivo do tratamento e
de que forma obtiveram o
consentimento
- descrevam os fluxos
- definam o período de tempo e de que
forma garantem os direitos

69. 4 - ONDE ARMAZENO?
Abraça:
• Privacy by design e por padrão
• Security by design e por padrão
Sê cuidadoso e responsável

70. O QUE SIGNIFICA PROTEÇÃO DE
DADOS "POR DESIGN" E "POR
PADRÃO"?
As empresas / organizações são
encorajadas a implementar medidas
técnicas e organizacionais, nas fases
iniciais do projeto das operações de
processamento, de tal forma que
protejam os princípios de privacidade e
proteção de dados desde o início
("proteção de dados por design").

71. O QUE SIGNIFICA PROTEÇÃO DE
DADOS "POR DESIGN" E "POR
PADRÃO"?
Por padrão, as empresas / organizações
devem garantir que os dados pessoais
sejam processados com a maior proteção
de privacidade (por exemplo, apenas os
dados necessários devem ser
processados, curto período de
armazenamento, acessibilidade limitada)
para que, por padrão, os dados pessoais
não sejam acedidos por um número
indefinido número de pessoas ("proteção
de dados por padrão").

72. REVÊ A SEGURANÇA
Se andaram a assobiar, eis que chega a
altura de arregaçar as mangas.
Agora é a doer.
Encontrem o equilíbrio.

73. FORMAÇÃO A TODOS OS
FUNCIONÁRIOS
Garantam que a vossa organização está
consciente e atenta.
Entendam as falhas de segurança e não
as condenem, pelo contrário.

74. 5 - PARTILHO OS DADOS?
• Informática
• Transportadoras
• Medicina Trabalho
• TOC
• Segurança
• …

75. O QUE FAZER?
Procura ferramentas que demonstrem
que estão a trabalhar para a
conformidade.
Pede-lhes documentação

76. SE TENS PARCEIROS
EXTERNOS
Antes:
• Cria um Acordo de Confidencialidade

77. SE TENS PARCEIROS
EXTERNOS
Antes:
• Cria um Acordo de Confidencialidade
• Define dados a ser trocados e canais
seguros para a troca

78. SE TENS PARCEIROS
EXTERNOS
Antes:
• Cria um Acordo de Confidencialidade
• Define dados a ser trocados e canais
seguros para a troca
• Define interlocutores e regras para
comunicar incidentes de segurança

79. SE TENS PARCEIROS
EXTERNOS
Depois:
• Informa o término da relação

80. SE TENS PARCEIROS
EXTERNOS
Depois:
• Informa o término da relação
• Remove os privilégios

81. SE TENS PARCEIROS
EXTERNOS
Depois:
• Informa o término da relação
• Remove os privilégios
• Parceiro destroi a informação e regista
o ato

82. ESCOLHAM BEM OS
VOSSOS PARCEIROS
Os vossos parceiros também devem
cumprir o RGPD.
Perguntem o que estão a fazer de
momento.

83. 6 - DIREITOS DOS
TITULARES
Se um titular vos pedir o acesso aos
dados, em quanto tempo conseguem
obter essa informação?
Ou corrigir, eliminar, exportar?
E se metade dos vossos contactos o
fizer?
Sabem qual o prazo máximo?

84. 7 - CONSIGO DETECTAR
VIOLAÇÕES?
Mecanismos de Alerta
Os sistemas e aplicações deverão ser
implementados, de forma a serem gerados
alertas em caso de vulnerabilidade e/ou
ocorrência de violações de segurança.
Estes mecanismos permitirão, aos
responsáveis pelos sistemas de informação,
identificar o incidente e por em prática as
medidas necessárias de forma a minimizar os
riscos para a privacidade.

85. E AMANHÃ?
Controlo de Qualidade e Melhoria
Contínua
No âmbito dos processos internos de
garantia de qualidade e melhoria
contínua, deve ser dado especial
enfoque à segurança da informação.

86. O RGPD PODE FAZER
MUITO PELA TUA
IMAGEM ENQUANTO
PROFISSIONAL