Apoio na implementação do novo regulamento de protecção de dados (EU 2016/679)

DO QUE TRATA O REGULAMENTO?

A protecção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental.

O Regulamento 2016/679 pretende contribuir:

  • para a realização de um espaço de liberdade, segurança e justiça e de uma união económica;
  • para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno; e
  • para o bem-estar das pessoas singulares.

Será aplicável em todos os Estados-Membros a partir de 25 de Maio de 2018

A QUEM SE APLICA?

  • Às entidades responsáveis (ou subcontratantes) pelo tratamento de dados pessoais no território da União Europeia, independentemente do local onde se encontram sediadas;
  • Ao tratamento de dados pessoais das pessoas singulares, independentemente da nacionalidade ou residência, e por meios, total ou parcialmente automatizados e não automatizados de dados pessoais.
  • Qualquer tratamento de dados pessoais efectuado no contexto das actividades de um estabelecimento responsável pelo tratamento situado na União deverá ser feito em conformidade com o presente regulamento.

O QUE É QUE AS ORGANIZAÇÕES TÊM DE FAZER?

  • Cada organização deve implementar uma metodologia orientada para a implementação de práticas efectivas e que permita a análise e recolha de evidências.

– Artigo 5º n.º 2 “O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.º 1 e tem de poder comprová-lo («responsabilidade»).”

– Artigo 24 n.º 1 “o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento.” apontam o caminho correcto que deve ser seguido pelas organizações.

No dia 25 de Maio de 2018 as organizações devem conseguir demonstrar que estão em conformidade com o presente regulamento através da apresentação de evidências e de práticas implementadas.

QUAIS AS PRINCIPAIS NOVIDADES?

  • Reconhecer aos cidadãos:
    • o “direito a ser esquecido”
    • o “direito ao apagamento”,
    • o “direito à portabilidade dos dados”,
    • o “direito à limitação do tratamento”,
    • o “direito de oposição”,
    • o “direito de rectificação”,
    • o “direito de acesso” e
    • o “direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis”.
  • Obrigação de notificar violações de Dados Pessoais à autoridade de controlo e ao Titular dos Dados.
  • Aplicação do Regulamento aos responsáveis pelo tratamento (entidades que controlam os dados) bem como aos subcontratantes (entidades que tratam os dados).
  • Regras de especial tutela quanto a menores.
  • Ser necessário a realização de avaliações de impacto sobre a protecção de dados.
  • Criação da figura encarregado da protecção de dados (DPO).
  • Novas premissas no tratamento dos dados como a protecção: da concepção (privacy by design) e por defeito (privacy by default), a pseudonimização e a minimização dos Dados Pessoais.
  • Elaboração de códigos de conduta.
  • Direito de apresentar reclamação a uma autoridade de controlo.
  • Supressão do mecanismo de autorização prévia pela Comissão Nacional de Protecção de Dados (CNPD) passando esta entidade a ter um papel fiscalizador.
  • Registar detalhadamente todas as actividades de tratamento dos Dados Pessoais.

QUAIS AS COIMAS APLICÁVEIS

Quem for responsável (Organização ou pessoa individual) pelo tratamento de dados responde pelos danos causados por um tratamento de dados que não cumpra o presente regulamento, sendo obrigado a indemnizar a pessoa que tenha sofrido danos (materiais ou imateriais) devido a essa violação.

As coimas podem atingir montantes especialmente elevados – prevê-se a possibilidade de as coimas chegarem até 20.000.000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial.

A METODOLOGIA SAC

Fases

Tarefas/técnicas

Resultados

AVALIAÇÃO

Definição do perímetro de análise

– Levantamento inicial
– Recolha de informação e documentação

– Inventários de dados, processos e sistemas

DIAGNÓSTICO

Apuramento do nível de conformidade com os requisitos do RGPD

– Análise legal, processual e tecnológica
– Análise da conformidade VS requisitos do RGPD
– Recomendações e planos de acções

– Identificação de GAPS
– Relatórios de conformidade
Planos de Acções

IMPLEMENTAÇÃO

Acções para garantir a conformidade e a monitorização

– Desenho da organização
– Politicas e procedimentos
– Gestão do Risco
– Controlos de Segurança
– Formação

– Quadro de protecção de dados em conformidade com o RGPD implementado

As organizações responsáveis pelo tratamento precisam de assegurar a base legal para a recolha e tratamento de dados pessoais.

Apoie-se num parceiro que o possa acompanhar ao longo de todo o processo estratégico de implementação do RGPD, eliminando o risco de incumprimento e as respectivas coimas.