GDPR Compliance

RGPD (Regime Geral de Proteção de Dados) é um regulamento da União Europeia que entrou em vigor em 25 de Maio de 2018, revogando a Diretiva 95/46/CE

•Como Podemos Ajudar?

O que é o RGPD

O Regulamento Geral de Proteção de dados (RGPD) é o regulamento que impõe novas regras às organizações que ofereçam serviços ou produtos aos cidadãos da União Europeia, ou que recolham e analisem dados de cidadãos residentes na UE, independente da sua localização.

Os objetivos da Comissão Europeia enunciados no Regulamento são:

  • O permitir o desenvolvimento da Economia Digital;
  • O permitir que as pessoas singulares controlem os seus próprios dados;
  • Reforçar a segurança jurídica e prática para os operadores económicos e públicos.
  • Reforça Direitos de privacidade
  • Aumenta Dever de proteção dos dados
  • Obriga Relatar fugas
  • Penaliza Multas para não conformidade 20 M€ ou 4% faturação global (o maior)
25 Maio de 2018

Porquê o RGPD

Valor atual dos dados Pessoais na dark web – entre 30€ a 50€

Valor atual dos dados de cartão de crédito na dark web – 0,3€

Os nossos dados pessoais são o atual Petróleo!

Definições importantes

Dados Pessoais

Informação que direta ou indiretamente possa identificar uma pessoa singular

Tratamento de dados

Operação ou conjunto de operações sobre os dados ou conjunto de dados pessoais, de forma automatizada ou não, como a recolha, registo, organização, estruturação, conservação, adaptação, alteração, consulta, utilização, divulgação, comparação, limitação, apagamento ou destruição.

Responsável pelo tratamento

Pessoa ou entidade que determina a forma como os dados são tratados e a finalidade desse tratamento.

Subcontratante

Pessoa ou entidade que trata os dados pessoais por conta do responsável pelo tratamento (quem contratamos para nos prestar um serviço).

Princípios do tratamento de dados pessoais

Principais direitos dos titulares dos dados

Informação e Acesso

Implica garantir aos titulares dos dados pessoais informações como finalidade do tratamento, que dados pessoais, destinatários a quem os dados serão divulgados, prazos previsto de conservação, ….

Retificação e apagamento (esquecimento)

O titular dos dados tem o direito de obter do responsável do tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Tem também o direito de apagamento ou esquecimento em certas situações.

Portabilidade

Ao exercer o direito à portabilidade, o titular dos dados tem o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja tecnicamente possível.

Principais deveres dos responsáveis de tratamento

Responsabilidade pró-ativa

O responsável pelo tratamento deve aplicar medidas técnicas e organizativas apropriadas para garantir e demonstrar que os tratamentos que realiza são conformes com o RGPD.

Respeitar e garantir os direitos dos titulares dos dados pessoais

A organização deve articular procedimentos que permitam facilmente aos titulares dos dados o exercício do seus direitos.

Proteger os dados pessoais

Os responsáveis e os subcontratantes devem estabelecer medidas técnicas e organizativas apropriadas para garantir um nível de segurança adequado.

Notificação de violação de dados

Os responsáveis pelo tratamento de dados devem reportar às autoridades de controlo e por vezes aos titulares, no prazo de 72 horas, as violações de dados.

“Privacy by Design” e “Privacy by Default”

Pensar em termos de proteção de dados desde o momento em que se desenha um tratamento, um produto ou um serviço que implique a utilização de dados pessoais. A privacidade deve fazer parte da cultura da Organização.

Nomeação de um “Data privacy Officer”

Dependendo do tipo de organização e/ou dos tratamentos de dados pessoais efetuados, devemos ter de nomear um Encarregado de Proteção de Dados (DPO)

Responsabilidade na escolha do subcontratante

Contratar apenas empresas que ofereçam garantias suficientes (em termos de conhecimentos especializados, fiabilidade, recursos e capacidade) para aplicar as medidas técnicas e organizativas, de maneira que o tratamento que efetuam também seja conforme com o RGPD .

Sanções

Sanções Corretivas

Advertências, repreensões, ordens, etc...

Sanções Financeiras

Dois níveis de aplicação de coimas: Coimas até 20 M€ ou 4% do volume de negócios anual (o maior) Coimas até 10 M€ ou 2% do volume de negócios anual (o maior)

Sanções reputacionais

Dano de imagem, perda de confiança, desvalorização bolsa, etc...

O que fazer?

  • dos tipos de tratamentos de dados e quais as finalidades
  • dos fundamentos jurídicos para o tratamento
  • dos subcontratantes ou terceiros
  • de eventuais fluxos transfronteiriços
  • dos prazos de conservação dos dados
  • das medidas de segurança implementadas
  • Rever contratos de subcontratantes ou terceiros
  • De medidas que permitam o exercício dos direitos de acesso, esquecimento, portabilidade,…
  • Rever/criar politicas de privacidade
  • Rever/criar consentimentos
  • Nomeação DPO (se aplicável)
  • E reforço das medidas de segurança
  • De mecanismos de reporte de falhas de segurança
  • De medidas que permitam o exercício dos direitos de acesso, esquecimento, portabilidade,…

Como Implementamos a solução?

Comments are closed.