RGPD tudo o que precisa saber — Multifundos Especilisstas em RGPD

Neste artigo vamos abordar de uma forma simples e racional o que é o RGPD e o que tem de saber sobre este regulamento, assim como responder as questões que tem vindo a ser colocadas pelos nossos clientes.

RGPD Principais alterações

Âmbito de aplicação – Alargamento de aplicação territorial
Princípio da accountability , também extensível à subcontratação
Introdução de novos conceitos (v.g., pseudonimização , perfis, limitação do tratamento, estabelecimento principal)
Mecanismo de balcão único one stop shop OSS PbD , Pbd , DPIA
Reforço importante das exigências de segurança
A figura do encarregado de protecção de dados DPO
Notificação de violações data breach
Procedimentos de certificação
Modelo de supervisão

Conceitos no RGPD

Dados pessoais ( Artigo 4.º, n.º 1)
Tratamento de dados pessoais
Profiling
Pseudonimização
Limitação do tratamento
Consentimento
Violação de dados pessoais
Tratamento transfronteiriço

Questões frequentes do RGPD

O que são dados pessoais?

Qualquer informação , de qualquer natureza, independentemente do suporte , incluindo som e imagem, relativa a uma pessoa identificada ou identificável.

O que se entende por identificável?

É identificável a pessoa que direta ou indiretamente se possa identificar, por referência a um identificador, como por ex.: nome, um número, dados de localização, identificadores por via eletrónica ou um ou mais elementos da sua identidade física, fisiológica, genética, mental, económica, cultural ou social

O que é um tratamento de dados pessoais?

Qualquer operação ou conjunto de operações sobre dados pessoais, efetuada com ou sem meios automatizados.

Recolha
Registo
Organização
Conservação
Destruição
Alteração
Recuperação
Transmissão
Difusão
Interconexão
Comparação
Apagamento
Bloqueio

O que são dados especiais (sensíveis) perante o RGPD?

Dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou sindicais, dados genéticos, dados biométricos com o único propósito de identificação de uma pessoa singular, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa singular.

O que é o profiling perante o regulamento?

Definição de perfis, qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses , fiabilidade, comportamento, localização ou deslocações;

Em que situação tenho que fazer uma Avaliação de Impacto da Privacidade (PIA)?

Para cada tratamento de:

dados especiais (sensíveis + …)
Profilling
monitorização em zonas públicas
deployment de novas tecnologias

Nota: deve promover a elaboração de uma avaliação de impacto na privacidade.

Os pedidos de autorização prévia acabam?

Deve consultar a CNPD antes do processamento ( Art . 36 GDPR), se o PIA indicar que o processamento resultaria num risco elevado e não poder tomar medidas para mitigar o risco. As DPAs podem publicar ” black ” e white lists ” com os dados cujo processamento exigem ou não um PIA.

Posso usar um sistema biométrico para controlo de acesso?

Artigo 9.o Tratamento de categorias especiais de dados pessoais

É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca , dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

O disposto no n.o 1 não se aplica se se verificar um dos seguintes casos:

a) Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se o direito da União ou de um Estado Membro previr que a proibição a que se refere o n.o 1 não pode ser anulada pelo titular dos dados;

Quais as funções do encarregado de proteção de dados (DPO)?

O DPO deve:

Assegurar a conformidade da proteção de dados na sua instituição;
Assegurar que os controladores e as pessoas em causa sejam informados sobre os seus direitos, obrigações e responsabilidades;
Dar conselhos e recomendações à instituição sobre a interpretação ou aplicação das regras de proteção de dados;
Criar um registo dos tratamentos existentes no interior da instituição e notificar a CNPD dos que apresentam riscos específicos (os chamados controlos prévios);
Tratamento de consultas ou reclamações a pedido da instituição, do responsável, pelo individuo, ou por sua própria iniciativa;
Cooperar com a CNPD (responder aos seus pedidos de inquéritos, tratamento de queixas e inspeções).

Quais o perfil do encarregado de proteção de dados?

Independente (análogo ao que se passa nas DPA)

Deve responder diretamente ao CA.

Não pode ser ele responsável por nenhum processamento de dados pessoais (ex. RH)

Deve ter um contrato permanente com a instituição

Deve ser nomeado por um período razoável de tempo (4 5 anos)

Deve gerir uma equipa de profissionais, a instituição pode/deve nomear também coordenadores de proteção de dados por área funcional.

Deve poder gerir o seu orçamento

Deve poder aceder a todos os dados e seus tratamentos e questionar os responsáveis pelos tratamentos

A minha instituição precisa de um encarregado de proteção de dados?

Será obrigatório quando o tratamento for efetuado por uma autoridade ou organismo público

Deve ser nomeado um DPO se as atividades principais do responsável pelo tratamento dos dados consistirem em:

Operações de tratamento que exigem uma monitorização em grande escala, regular e sistemática das pessoas em causa

Tratamento em grande escala de categorias especiais de dados pessoais

Quais as novas regras para o consentimento?

O responsável pelo tratamento deve poder demonstrar que a pessoa em causa deu o seu consentimento explícito ao tratamento dos seus dados pessoais

O consentimento para menores de 13 (??) anos deve ser dado pelos pais ou tutor da criança, e verificável (artigo 8). Os controladores devem ser capazes de provar que o consentimento foi dado ( opt in) e o consentimento pode ser retirado.

As organizações devem provar claramente, a pedido de qualquer órgão autorizado, consentimento documentado e por que razão os dados estão a ser usados

O que significa o direito ao esquecimento?

O artigo 17.º refere se ao direito de apagamento, muitas vezes referido como o direito ao esquecimento, quando o responsável pelo tratamento, mediante pedido, apague os dados pessoais da pessoa em causa e sem atrasos indevidos

A eliminação deve ser efetuada se o titular dos dados retirar o seu consentimento ou se os dados estiverem a ser tratados ilegalmente. Existem isenções, por exemplo, para obrigações regulamentares ou legislativas adequadas

Acontece bastante atualmente, onde os dados pessoais são recolhidos por uma razão válida e, de seguida, são usado para fins de marketing sem o desejo expresso do indivíduo

Qual o valor das coimas?

Até 20 milhões de euros ou 4% do volume de negócios anual global, consoante o que for maior para os artigos 5.o, 6.o, 7.o e 9.o, 12.o a 22.o, 44.o 49.o

Até 10 milhões de euros, ou 2% do volume de negócios anual global, consoante o que for maior para os artigos 8.o, 11.o, 25.o 39.o, 42.o e 43.o

É provável que as organizações que tomam medidas abrangentes e verificáveis para proteger a PII que as multas sejam menores ou significativamente reduzidas

Para um incidente de violação, é possível cobrar multas múltiplas. Por exemplo, se as PII forem roubadas e houver potencial de prejuízo para as pessoas em causa, as infracções poderão abranger medidas de protecção insuficientes, mas também se as pessoas em causa não forem notificadas num prazo razoável

Quando devo comunicar um data breach

O artigo 33.º exige que a violação de dados pessoais seja comunicada “… sem demora

injustificada e, sempre que possível, o mais tardar 72 horas após ter tomado conhecimento desse facto”. A não observância desta obrigação deve ser explicitada à autoridade de supervisão com as razões

Sempre que tal incumprimento seja “[…] susceptível de acarretar um risco elevado para os direitos e liberdades das pessoas …”, o responsável pelo tratamento notificará a pessoa em causa em que a comunicação deve “… descrever em linguagem clara e transparente a natureza dos dados pessoais e conter pelo menos as informações e medidas para mitigar… “

Preciso rever os tratamentos já notificados e autorizados?

Sim! Deve revisitar:

Formas de consentimento
Medidas de segurança
Notificação de privacidade
Contratos de outsourcing
Direito ao esquecimento

O que se entende por transparência?

A transparência é mencionada em vários artigos e é um princípio fundamental do RGPD, em relação ao qual as organizações devem ser capazes de provar que possuem as medidas organizacionais, técnicas e processuais necessárias . Os controladores são obrigados a manter um registro das atividades de processamento sob sua responsabilidade

O artigo 30.º contém uma lista de requisitos e ligações ao artigo 32.º, em que o responsável pelo tratamento deve demonstrar que as medidas de segurança técnicas e organizativas são adequadas para proteger os dados

O profilling continua a ser possível?

Sim, no entanto:

As pessoas têm o direito de se opor ao uso de perfis. O profilling automatizado que afecta significativamente a pessoa em causa pode, na maioria dos casos, só ser possível quando é necessário para a execução de um contrato, uma obrigação legal ou através do consentimento explícito da pessoa em causa.

O GDPR também proíbe a elaboração de perfis com base em dados pessoais sensíveis e a utilização sistémica de profilling requer uma avaliação prévia do impacto da proteção de dados.

Devo revisitar os contratos de outsourcing

Sim, deve efetuar:

Levantamento de todos os contratos existentes com terceiros que envolvem o tratamento dos dados

Levantamento de todos os serviços que envolvam dados pessoais e que recorrem a cloud computing ou ao alojamento de dados

E os pedidos de acesso aos dados?

Atualizar os procedimentos e planear como vai tratar os pedidos dentro dos novos prazos e fornecer qualquer informação adicional.

O que é a limitação do tratamento Artigo 4.º, n.º 3)

«Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

Os artigos mais lidos do no seu blog:

Vouchers para Startups – Novos Produtos Verdes e Digitais

SI Inovação Produtiva

Contacte-nos agora!

Elaboramos o seu plano de negócios que garanta o sucesso da sua empresa e a obtenção de apoios e/ou financiamento.

Prestamos esclarecimentos gratuitamente de quais os incentivos mais adequados a sua empresa.

Conheça também os Sistema de Incentivos no âmbito do Portugal 2030 que poderão apoiar o crescimento da sua empresa.

Precisa de consultoria especializada?

Contacte-nos

FAQ: Tudo sobre RGPD para Empresas

1. O que é RGPD?

O RGPD é o Regulamento Geral sobre a Proteção de Dados, uma legislação da União Europeia que estabelece diretrizes para a coleta e processamento de informações pessoais dos cidadãos da UE.

2. Quais Empresas são Afetadas pelo RGPD?

Todas as empresas que processam dados pessoais de cidadãos da União Europeia, independentemente da sua localização geográfica, estão sujeitas ao RGPD.

3. O que são Dados Pessoais sob o RGPD?

Dados pessoais incluem qualquer informação relacionada a uma pessoa identificável, como nome, número de identificação, dados de localização, identificadores eletrônicos, entre outros.

4. O que Constitui um Tratamento de Dados Pessoais?

O tratamento de dados pessoais envolve qualquer operação realizada com esses dados, como coleta, gravação, organização, estruturação, armazenamento, adaptação, recuperação, consulta, uso, divulgação, difusão, comparação, interconexão, restrição, apagamento ou destruição.

5. Como o Consentimento é Tratado no RGPD?

O RGPD exige que o consentimento para o processamento de dados pessoais seja dado de maneira explícita e inequívoca, podendo ser retirado a qualquer momento.

6. Quais são as Consequências do Não Cumprimento do RGPD?

O não cumprimento do RGPD pode resultar em multas significativas, que podem alcançar até 20 milhões de euros ou 4% do faturamento anual global, dependendo da infração.

7. Como Deve ser Realizada a Notificação de Violação de Dados?

As violações de dados devem ser notificadas às autoridades competentes no prazo de 72 horas após a empresa tomar conhecimento do incidente.

8. O RGPD Aplica-se a Dados de Não-Europeus?

Sim, o RGPD aplica-se a qualquer dado pessoal processado dentro da UE, independentemente da nacionalidade ou residência da pessoa.

9. O que é uma Avaliação de Impacto da Privacidade (PIA)?

Uma PIA é uma avaliação necessária para processamentos de dados que apresentem alto risco para os direitos e liberdades individuais, como monitorização em grande escala.

10. Qual o Papel do Encarregado de Proteção de Dados (DPO)?

O DPO é responsável por assegurar a conformidade da proteção de dados na organização, aconselhando sobre a interpretação ou aplicação das regras de proteção de dados.

11. O que é o Direito ao Esquecimento?

O direito ao esquecimento permite que indivíduos solicitem o apagamento de seus dados pessoais quando não forem mais necessários ou se o processamento for ilegal.

12. Como a Multifundos Pode Auxiliar com o RGPD?

A Multifundos oferece consultoria especializada em RGPD, ajudando as empresas a compreenderem e cumprirem as regulamentações, implementando práticas apropriadas de proteção de dados.