.

ESTA SEMANA NO 
"O JORNAL ECONÓMICO"

A importância do regulamento geral 
de proteção de dados

É em maio de 2018 que entre em vigor o novo regulamento geral da proteção de dados, que traz consigo vários desafios tanto aos cidadãos, como às empresas e outras organizações privadas e públicas. Saiba o que muda.

O porquê do Regulamento?

A proteção das pessoas singulares relativamente ao tratamento de Dados Pessoais é um direito fundamental. A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de Dados Pessoais exigindo um quadro de proteção sólido e mais coerente na União Europeia.

Surge assim a necessidade de um Regulamento que introduz alterações importantes sobre a proteção das pessoas singulares relativamente ao tratamento de Dados Pessoais impondo novas obrigações aos cidadãos, empresas e outras organizações privadas e públicas.

A quem se aplica?

O Novo Regulamento aplica-se ao tratamento de dados pessoais das pessoas singulares, independentemente da sua nacionalidade ou do seu local de residência, e por meios total ou parcialmente automatizados, e também por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados e efetuado no contexto das atividades de um estabelecimento (organização ou empresa) de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União.

Assim qualquer tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento responsável pelo tratamento situado na União deverá ser feito em conformidade com o presente regulamento, independentemente de o tratamento em si ser realizado na União.

Quando entra em vigor?

O regulamento é aplicável a partir de 25 de maio de 2018, sendo que os Estados-Membros adotam e publicam, até 6 de maio de 2018, as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à DIRETIVA (UE) 2016/680 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho. Os Estados-Membros terão assim de aplicar as referidas disposições da diretiva a partir de 6 de maio de 2018.

Quais as sanções pelo não cumprimento do Regulamento?

Qualquer organização/empresa responsável pelo tratamento de dados responde pelos danos causados por um tratamento que viole o regulamento, sendo obrigado a indemnizar a pessoa que tenha sofrido danos materiais ou imateriais devido a essa violação.

Essa organização/ empresa que viole as regras do regulamento está também sujeita a aplicação de coimas pela respetiva autoridade de controlo, que podem ir em determinadas situações até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

Quais os aspetos mais relevantes?

• Harmonização Legislativa passando a existir um único documento legal sobre Proteção de Dados Pessoais em todos os vinte oito Estados Membros.

• Reconhecer aos cidadãos o “direito a ser esquecido” o “direito ao apagamento”, o “direito à portabilidade dos dados”, o “direito à limitação do tratamento”, o “direito de oposição”, o “direito de retificação”, o “direito de acesso” e o “direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis”.

• Obrigação de notificar violações de Dados Pessoais à autoridade de controlo, no caso português a Comissão Nacional de Proteção de Dados, e ao Titular dos Dados.

• Aplicação do Regulamento aos responsáveis pelo tratamento (entidades que controlam os dados) bem como aos subcontratantes (entidades que tratam os dados).

• Conceito do mecanismo de balcão único para organizações que tenham delegações em mais do que um país da União Europeia ou, caso operem apenas num Estado Membro, o processamento afeta substancialmente Titulares de Dados em pelo menos num outro Estado Membro.

• Regras de especial tutela quanto a menores.

• Ser necessário a realização de avaliações de impacto sobre a proteção de dados (DPIA).

• Criação da figura encarregado da proteção de dados (DPO).

• Introdução de novas premissas no tratamento dos dados como a proteção desde a conceção (privacy by design) e por defeito (privacy by default), a pseudonimização e a minimização dos Dados Pessoais.

• A proteção das pessoas singulares deverá ser neutra em termos tecnológicos e deverá ser independente das técnicas utilizadas.

• Garantir a capacidade de uma rede ou de um sistema informático de resistir, com um dado nível de confiança, a eventos acidentais ou a ações maliciosas ou ilícitas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais.

• Elaboração de códigos de conduta.

• Direito de apresentar reclamação a uma autoridade de controlo.

• Supressão do mecanismo de autorização prévia (artigo 28º Lei n.º 67/98 de 26 de outubro) pela Comissão Nacional de Proteção de Dados (CNPD) passando esta entidade a ter um papel fiscalizador.

• Registar detalhadamente todas as atividades de tratamento dos Dados Pessoais.

O que devo fazer?

No dia 25 de maio de 2018 seremos confrontados com três tipos de Organizações. Organizações que não estarão em conformidade com o Regulamento, organizações em conformidade com o Regulamento e organizações que para além de estarem em conformidade irão conseguir demonstrá-lo através da apresentação de evidências e de práticas implementadas.

É fundamental que a metodologia usada pela organização coloque o seu enfoque e seja orientada para a implementação de práticas efetivas e que permita a análise e recolha de evidências. O Artigo 5º n.º 2 “O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.º 1 e tem de poder comprová-lo («responsabilidade»).” e o Artigo 24 n.º 1 “o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento.” apontam o caminho correto que deve ser seguida pelas organizações.

A metodologia da inCentea baseia-se no mapeamento dos artigos do REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses com a norma NP ISO/IEC 27001:2013 Norma Portuguesa de Segurança de Informação.

A ISO 27001 é a framework por excelência na proteção da informação e sendo os Dados Pessoais considerados informação crítica para o RGPD faz todo o sentido conjugar os 114 controlos da norma com os 99 artigos e as 173 considerações do regulamento.

A inCentea identifica 8 processos onde é necessário demostrar evidências de conformidade a fim de dar resposta ao Regulamento.

1. Contexto da Organização, Governação e Políticas de Tratamento de Dados Pessoais

A organização deve assegurar os recursos e atribuir as responsabilidades necessárias que sejam relevantes para a execução do Regulamento Geral de Proteção de Dados e manter políticas, procedimentos, instruções e notas de privacidade apropriadas às necessidades e expetativas das partes interessadas que incluam os requisitos legais aplicáveis e garantam a privacidade dos Dados Pessoais.

 .

A nomeação do encarregado de proteção de dados (DPO), a elaboração da Política de Tratamento de Dados Pessoais, a criação de procedimentos que garantam a qualidade dos Dados Pessoais, a composição de comunicados de privacidade e a preparação de procedimentos de resposta aos pedidos dos Titulares do Dados estão entre as tarefas a serem realizadas durante a primeira fase.

2. Classificação, Mecanismos de Transferência e Inventário dos Dados Pessoais

Identificação, classificação e registo dos Dados Pessoais da organização garantindo a sua proteção, confidencialidade, integridade e disponibilidade.

Garantir um nível legal adequado à transferência de Dados Pessoais para países terceiros.

3. Consciencialização

As partes interessadas devem estar cientes e sensibilizadas da sua contribuição para a eficácia da política de tratamento de Dados Pessoais e das implicações da não conformidade com os requisitos do Regulamento Geral de Proteção de Dados.

As questões relacionadas com a privacidade dos Dados Pessoais devem ser incorporadas na sensibilização e formação de todas as equipas da organização com especial enfâse na dos recursos humanos, conformidade, suporte presencial e remoto, informática interna, centro de atendimento, marketing e vendas.

4. Avaliação e Tratamento do Risco de Segurança da Informação na Organização e na Relação com Partes Terceiras

Avaliar e implementar um plano de tratamento de riscos de segurança da informação e assegurar a proteção dos Dados Pessoais que estão acessíveis a parceiros, fornecedores, prestadores de serviço e outras entidades externas. As alterações devem ser controladas e ações corretivas implementadas sempre que necessário.

5. Ciclo de Vida Operacional

Assegurar a proteção dos Dados Pessoais desde a conceção e por defeito em todos os processos, sistemas e plataformas organizacionais e realizar avaliações de impacto sobre a proteção de dados.

6. Gestão de incidentes de Dados Pessoais

Assegurar uma abordagem consistente e eficaz à gestão de incidentes e violações de Dados Pessoais.

Devem ser estabelecidos procedimentos e responsabilidades para assegurar uma classificação e resposta eficazes aos incidentes de segurança.

7. Monitorização de Desempenho e Eficácia da aplicação do Regulamento

A organização deve conduzir auditorias internas assim como medir, avaliar e rever em intervalos planeados a adequabilidade do processo de tratamento de Dados Pessoais, bem como manter documentação que seja apropriada como evidência de todo o processo.

8. Conformidade

Acompanhar novos requisitos de conformidade, expetativas e melhores práticas e evitar violações de obrigações legais, estatutárias, regulamentares ou contratuais relacionadas com a privacidade dos Dados Pessoais.

Caso não disponha de recursos internos deve-se apoiar num parceiro que o possa acompanhar ao longo de todo o processo estratégico de implementação, eliminando o risco de incumprimento normativo de eventuais coimas pela respetiva autoridade de controlo e sobretudo, eliminando o risco de ocorrência de algum tipo de incidente sobre Dados Pessoais geridos na organização.

* Arquive esta notícia numa pasta pessoal, vai-lhe ser útil.

.