Академический Документы
Профессиональный Документы
Культура Документы
FORMAÇÃO INTEREMPRESAS
MANUAL DE FORMAÇÃO
Conteúdos Elaborados por:
Elsa Veloso - Formadora
Hugo Leite – Formador
Pág. 1
Programa do Curso
Planos de Sessão
Objectivos
Pág. 2
Pág. 3
Pág. 4
Pág. 5
RGPD
- O Novo Quadro Legal -
Aplicação
Material:
• Aplicável ao tratamento de todos os dados pessoais, exceto:
– efetuado no exercício de atividades não sujeitas à aplicação do direito da União;
– Efetuado pelos Estados-Membros no exercício de atividades abrangidas pelo
âmbito de aplicação do título V, capítulo 2, do TUE (política externa e de
segurança);
– Efetuado por uma pessoa singular no exercício de atividades exclusivamente
pessoais ou domésticas;
– Efetuado pelas autoridades competentes para efeitos de prevenção,
investigação,
deteção e repressão de infrações penais ou da execução de sanções penais.
Territorial:
• Organizações públicas e privadas que estejam dentro da UE,
• …mas também todas as organizações fora da UE que processem dados pessoais
para oferta de bens e serviços à UE.
Pág. 6
Pág. 7
DADOS PESSOAIS
«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular
dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou
indiretamente, em especial por referência a um identificador, como por exemplo um nome, um
número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais
elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou
social dessa pessoa singular.
Pág. 8
EXEMPLOS DE DADOS
NÃO CONSIDERADOS PESSOAIS
Referências
Pág. 9
TRATAMENTO
DEFINIÇÃO DE PERFIS
«Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista
em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular,
nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional,
Pág. 10
PSEUDOMIZAÇÃO
«Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos
a um titular de dados específico sem recorrer a informações suplementares, desde que essas
informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e
organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa
singular identificada ou identificável.
SUBCONTRAENTE
«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou
ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados
pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Pág. 11
PRÍNCIPIOS
O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável
pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for
uma criança.
CONSENTIMENTO
§ Responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu
consentimento.
§ Deve ser apresentado de uma forma que o distinga de modo inteligível e de fácil acesso
e numa linguagem clara e simples.
§ O titular tem o direito de retirar o seu consentimento. O consentimento deve ser tão
fácil de retirar quanto de dar.
§ O consentimento não é dado livremente se, designadamente, a execução de um contrato,
inclusive a prestação de um serviço, está subordinada ao consentimento para o
tratamento de dados pessoais que não é necessário para a execução desse contrato.
§ Surge com uma regulação detalhada no RGPD (muito superior à da Diretiva 95/46)
• Consentimento deve ser LEIE e prestado mediante declaração ou ato positivo
inequívoco
• Se o consentimento for prestado no contexto de uma declaração escrita que diga também
respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma
forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil
acesso e numa linguagem clara e simples –Pode estar aqui o fim dos termos de utilização
extensíssimos
• O tratamento de diferentes tipos de dados deve dar lugar a consentimentos distintos (evitar
a lógica de “tudo ou nada”)
• Pode obrigar as empresas (e.g comércio eletrónico) a rever os seus termos de utilização
• Consentimentos prestados antes do início de aplicação do RGPD são válidos desde que
cumpram as novas coordenadas
Pág. 12
CONSENTIMENTO
§ Dado em forma de ação positiva ( OPT-IN)
§ Por escrito, por meios electrónicos ou oralmente
§ Ticking box on website
§ Ativando configurações técnicas
§ Outras Declarações ou Condutas
Acesso
Retificação
Cancelamento
Oposição
Direitos ARCO
Direitos do titular dos dados
Acesso
Artigo 15º RGPD
O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que
os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso,
o direito de aceder aos seus dados pessoais e às seguintes informações:
● As finalidades do tratamento de dados;
● As categorias dos dados em questão
● Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou
serão divulgados, nomeadamente os destinatários estabelecidos em países terceiros
Pág. 13
● Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua
recolha ou tratamento
● O titular retira o consentimento em que se baseia o tratamento dos dados nos termos do
artigo 6.º, n.º 1, alínea a), ou do artigo 9.º, n.º 2, alínea a) e se não existir outro
fundamento jurídico para o referido tratamento.
● O titular opõe-se ao tratamento nos termos do artigo 21º, n.º 1 (Direito de oposição), e
não existem interesses legítimos prevalecentes que justifiquem o tratamento, ou o titular
opõe-se ao tratamento nos termos do artigo 21.º, n.º 2 (tratamento para comercialização
direta)
● Os dados pessoais foram tratados ilicitamente
● Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica
decorrente do direito da União ou de um Estado-Membro a que o responsável pelo
tratamento esteja sujeito
● Os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade da
informação referida no artigo 8.º, n.º 1.
O artigo 8.º, n.º 1 determina que quando for aplicável o artigo 6.º, n.º 1, alínea a) (licitude do
tratamento com base no consentimento), no que respeita à oferta direta de serviços da sociedade
da informação às crianças, (o processamento ) dos dados pessoais de crianças é lícito se elas
tiverem pelo menos 16 anos.
PRIVACIDADE
Direito a ser esquecido
Artigo 17º RGPD
Liberdade: Assegurava, para Brandeis, extensos privilégios civis, mas não a privacidade
Pág. 14
O titular dos dados tem o direito de receber os dados pessoais que lhe
digam respeito e que tenha fornecido a um responsável pelo tratamento:
● num formato estruturado
● de uso corrente e de leitura automática
Subsequentemente,
o direito de transmitir esses dados a outro responsável pelo tratamento sem que
o responsável a quem os dados pessoais foram fornecidos o possa impedir, se:
● O tratamento se basear no consentimento dado nos termos do artigo 6.º, n.º 1,
alínea a), ou do artigo 9.º, n.º 2, alínea a), ou num contrato referido no artigo 6.º, n.º
1, alínea b); e
● O tratamento for realizado por meios automatizados.
▼
Requisitos cumulativos
Pág. 15
Direito à Portabilidade
Artigo 20.º do RGPD
Direito de portabilidade
• O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e
que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso
corrente e de leitura automática, e o direito de transmitir esses dados a outro
responsável pelo tratamento sem que o responsável a quem os dados pessoais foram
fornecidos o possa impedir
• Pode exercer-se quando: a) O tratamento se basear no consentimento; e b) O
tratamento for realizado por meios automatizados
• Ao exercer este direito, o titular dos dados tem o direito a que os dados pessoais sejam
transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja
tecnicamente possível
• Acarretando a obrigação de adoção de modelos interoperáveis de alojamento de dados,
poderá implicar um desafio operacional e técnico relevante para as empresas /
organizações
Como responder aos desafios? Proposta de Lei n.º 120/XIII da Presidência do Conselho de
Ministros (22/03/2018)
Artigo 18.º
Portabilidade e interoperabilidade dos dados
1 - O direito de portabilidade dos dados previsto no artigo 20.º do RGPD abrange apenas os
dados fornecidos pelos respetivos titulares.
2 - A portabilidade dos dados deve, sempre que possível, ter lugar em formato aberto.
3 - No âmbito da Administração Pública, sempre que a interoperabilidade dos dados não seja
tecnicamente possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam
entregues num formato digital aberto, de acordo com o Regulamento Nacional de
Interoperabilidade Digital em vigor.
Pág. 16
DIREITO AO ESQUECIMENTO
Pág. 17
Criação de Valor:
• A Segurança e Avaliação do Risco são os dois conceitos centrais do GDPR Espera-se
que a aplicação do RGPD crie valor para a organização pelo reforço da confiança dos
seus clientes e parceiros, ao mesmo tempo que garante um controlo efetivo dos dados a
seu cargo, através da mitigação dos riscos externos e internos. Normalmente há 3 áreas
particularmente beneficiadas:
• Gateways de e-mail – proteção contra perda de dados de email, proteção de antispam e
antimalware, filtragem inteligente de conteúdo avançada e encriptação de email
• DLP (Data Loss Prevention) – software para prevenção de perda de dados
• SIEM (Security Information and Event Management) - gestão de informação sobre os
eventos de segurança como (Logins e Logouts, chamadas de API, Exportações de
relatórios/dados, …)
• GDPR define que para certo casos é obrigatória a realização de uma avaliação de
riscos.
• “Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo
em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um
elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo
tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das
operações de tratamento previstas sobre a proteção de dados pessoais.”
• Data Protection Impact Assessments (DPIA) incluem:
• Descrição sistemática do processamento
• Base jurídica do processamento (interesse legítimo)
• Necessidade e proporcionalidade
• Riscos para os direitos e liberdades dos titulares dos dados
• Controles para tratar riscos inaceitáveis
• Consulta aos titulares dos dados, quando apropriado
Pág. 18
(…)No que respeita ao tratamento automatizado de dados, cada Estado-Membro prevê que o
responsável pelo tratamento ou o subcontratante, na sequência de uma avaliação dos riscos,
aplique medidas para os seguintes efeitos:
Pág. 19
Novos procedimentos:
O RGPD substitui essa obrigação por uma outra, também prévia ao início do tratamento, de
avaliação de impacto das operações de tratamento sobre a proteção de dados pessoais
Essa avaliação é obrigatória sempre que um certo tipo de tratamento (que, por exemplo, envolva
o uso de novas tecnologias) e considerando a sua natureza, âmbito, contexto e finalidades, for
suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares
e.g casos de definição de perfis, de operações de tratamento em grande escala de dados sensíveis
ou controlo sistemático de zonas acessíveis ao público em grande escala
Pág. 20
• Funções do DPO:
– Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem
como os trabalhadores que tratem os dados, a respeito das suas obrigações nos
termos do RGPD
– Controla a conformidade dos procedimentos adotados pelo responsável pelo
tratamento ou pelo subcontratante
– Presta aconselhamento no que respeita à avaliação de impacto sobre a proteção
de dados e controla a sua realização
– Coopera com a autoridade de controlo (ponto de contacto)
• O DPO pode ser um elemento do pessoal do responsável pelo tratamento ou do
subcontratante, ou exercer as suas funções com base num contrato de prestação de
serviços
• Um grupo empresarial pode designar um único encarregado da proteção de dados desde
que o mesmo seja facilmente acessível a partir de cada estabelecimento
Pág. 21
RGPD – SANÇÕES
• É um dos temas centrais do RGPD e que maiores atenções tem despertado
• Na Diretiva 95/46 a determinação do montante das coimas a aplicar encontrava-se
delegada nos Estados-membros
• O RGPD estabelece um quadro de aplicação uniforme e assente em dois tipos de
sanções (em função da gravidade da violação):
– Nos casos mais “leves” (p.e., violação das regras “privacy by design” e “privacy
by default”), as coimas poderão ter um valor até 10 000 000 EUR ou até 2% do
volume de negócios anual a nível mundial correspondente ao exercício
financeiro anterior, consoante o montante que for mais elevado;
– Nos casos mais gravosos (p.e., violação das condições de consentimento), as
coimas poderão ter um valor até 20 000 000 EUR ou até 4% do volume de
negócios a nível mundial correspondente ao exercício financeiro anterior,
consoante o montante que for mais elevado
Pág. 22
Pág. 23
O que são: Pequenos ficheiros de texto enviados para o seu computador ou dispositivo móvel
quando visita websites. Os cookies ajudam os websites a armazenar e recuperar informação sobre
os seus hábitos de navegação por forma a personalizar a navegação de acordo com as suas
preferências
Para que servem: Para ajudar a determinar a utilidade, interesse e o número de utilizações dos
seus websites, permitindo uma navegação mais rápida e eficiente, eliminando a necessidade de
introduzir repetidamente as mesmas informações.
Regulamentação: As empresas na Europa devem obter o consentimento explícito para a utilização
de cookies e fornecer opções de opt-outs claros aos utilizadores. Passa a ser proibido condicionar
o acesso a um website a aceitar o uso de cookies de rastreamento.
Tipos de Cookies:
Cookies de análise: São aqueles que bem tratados pelos titulares do website, permitem quantificar
o número de utilizadores e realizar a medição e análise estatística de como os utilizadores usam
o esse mesmo website. Examinam a sua navegação, com o objetivo de melhorar o fornecimento
de produtos e serviços que lhe disponibilizamos.
Pág. 24
Cookies publicitárias: São aqueles que bem tratadas por nós ou por terceiros, nos permitem gerir
de uma forma mais eficiente a oferta de espaços publicitários que existem no site, podendo analisar
os seus hábitos de navegação e mostrar-lhe publicidade relacionada com o seu perfil de
navegação.
EXEMPLOS PRÁTICOS:
Cookies próprias: Utilizados para a Reserva em loja para manter a loja selecionada pelo
utilizador.
Cookies de sessão:
I. Associam com o carrinho de compras o que escolhe;
II. Armazenam a informação de categoria para mostrar as páginas de forma mais rápida;
Indicam se está atualmente logado no site;
III. Indicam os IDs de sessão no servidor; Guardam os últimos produtos visualizados;
Guardam Informação sobre as pesquisas;
IV. Indicam se o utilizador autoriza o uso de cookies.
Cookies de terceiros:
I. Utilizados para distinguir utilizadores e sessões;
II. Utilizados para determinar novas visitas, sessões;
III. Armazenam a fonte de tráfego para explicar como o utilizador chega ao nosso site;
IV. Utilizados para identificar utilizadores e prevenir usos fraudulentos de dados de
utilizadores e proteger dados de utilizadores de terceiros;
V. Utilizados para personalizar publicidade em redes de Publisher;
VI. Utilizados para permitir ao site recordar preferências de navegação, idioma, região, etc.
Outros Cookies:
I. Analíticas web e vídeos;
II. Utilizados para determinar que servidor mostra a informação ao utilizador; Utilizados
para seguir as sessões ativas;
III. Utilizados para determinar se os cookies estão ativos; Utilizados para medir o tempo de
resposta dos utilizadores;
IV. Utilizados para identificar quantas vezes nos visitou um utilizador, que produtos comprou
e a que preço comprou.
V. E ainda, permitir saber se é a primeira visita ao site ou não.
Pág. 25
Desativar Cookies no Website: Apesar da maioria dos titulares, por defeito, otimizarem o seu site
para usufruírem da informação dos cookies, o utilizador, caso pretenda, poderá desativar esta
configuração no seu browser, sendo certo que não terá uma interacção tão intuitiva, obtida por
força dessa captação, que lhe poderá ser bastante útil E facilitadora.
Efeitos da Desativação dos Cookies: Se preferir não permitir cookies, tem a possibilidade de
desativar os mesmos, no navegador de internet (browser) que utiliza e continuará a navegar,
mas deverá ter em conta que poderá impedir que algumas páginas Web sejam apresentadas da
forma mais agradável e otimizada ao utilizador.
Exemplo Oposição
Pág. 26
2.3. Opt in
● Explícito
● Ato positivo do utilizador
● Esclarecimento expresso das finalidades da captação
● Aceitação dos Termos e Condições e da Política de Privacidade.
● Escolha dos canais de envio das comunicações digitais ( email, sms, entre outros)
Exemplo Opt-in
Consideram-se entidades terceiras os parceiros dos titulares dos websites a quem serão
transmitidas as bases de dados captadas.
Pág. 27
Esta nova norma reforça os direitos conhecidos como ARCO (Acesso, Rectificação, Cancelamento
e Oposição) e acrescenta novos direitos para proteger os dados das pessoas singulares.
Esses direitos exigirão a adaptação dos sistemas de informação para oferecer aos clientes acesso
seguro que lhes permita fazer consultas, modificações, blocos seletivos e despejos de dados em
dispositivos externos, para a sua entrega a outras empresas ou instituições.
Pág. 28
4. Exemplos Práticos
Identificação de pontos positivos e pontos a melhorar
Pág. 29
Pág. 30
LEGISLAÇÃO EM APLICAÇÃO
RGPD
Comissão Europeia
• Documento de trabalho sobre a monitorização das comunicações eletrónicas no local de
trabalho.
No geral, tendo em conta a natureza da relação existente entre empregado e empregador, não é
possível basear um tratamento legal de dados pessoais no consentimento do empregado.
Opinião 2/2017: as configurações padrão ou a instalação de software não-informado, sem a
oposição do empregado, não devem ser consideradas como consentimento, pois não existe uma
manifestação de vontade informada e explícita da vontade do trabalhador.
Pág. 31
Pág. 32
Estabelece que os dados pessoais devem ser adequados, pertinentes e limitados ao que é
necessário relativamente às finalidades para as quais são tratados
Além disso:
As medidas adotadas para a recolha de dados pessoais devem obedecer aos princípios da
proporcionalidade e subsidiariedade, com o objetivo de restringir ao mínimo os danos aos
direitos fundamentais dos trabalhadores.
Significa que:
Como qualquer tratamento de dados pessoais, o responsável pelo tratamento - neste caso, o
empregador - está obrigado pelo Artigo 32.º RGPD a implementar medidas técnicas e
organizativas adequadas para garantir um nível de segurança apropriado ao tratamento.
Depois de observar brevemente o processo de análise que deve ser seguido, em seguida, serão
analisados os diferentes casos especificados na Opinião 2/2017.
WP29: em geral, não devem ser recolhidos os dados de uma rede social do
candidato, mesmo que esses dados sejam públicos.
Empresa advoga interesse legitimo: os candidatos devem ser informados sobre o tratamento
destes dados. Neste caso, deve-se considerar qual é a finalidade da rede social (privado-Facebook
- ou negócio -Linkedin).
Finalmente, os dados recolhidos durante o recrutamento devem ser eliminados assim que o
processo de recrutamento terminar, com exceção dos casos em que o empregador os queira
manter para futuros processos de recrutamento: a pessoa em causa deve ser informada sobre
isso e ter a possibilidade de aceitar ou recusar o tratamento de dados.
Pág. 33
Pode ocorrer uma transferência internacional de dados no caso de o departamento usar uma
aplicação baseada num sistema de computação em nuvem.
Nestes casos, o empregador deve garantir que seja cumprido o requisito para uma transferência
lícita e adequada, tentando evitar que a base legal para estas transferências seja o
consentimento do empregado - pelos motivos anteriormente explicados.
CONCLUSÕES
O que deve ter em mente? (segundo o WP29)
1. Tenha sempre em mente os princípios da proteção de dados.
2. O conteúdo das comunicações eletrónicas no trabalho tem os mesmos direitos
fundamentais que as comunicações privadas.
3. O consentimento é altamente improvável como base legal. Os trabalhadores devem poder
recusar o tratamento de dados sem consequências negativas.
4. A execução de um contrato e o interesse legítimo podem ser a base legal para o tratamento
- apenas nos casos em que é estritamente necessário para a finalidade legítima e quando
cumpridos os princípios da proporcionalidade e subsidiariedade.
5. Os trabalhadores podem receber informações eficazes e úteis sobre a
monitorização/controlo dos dispositivos usados no trabalho.
6. As transferências internacionais de dados só devem efetuadas quando for assegurado
um nível adequado de garantias.
Artigo 28.º
Relações laborais
1 - O empregador pode tratar os dados pessoais dos seus trabalhadores nos termos
definidos no Código do Trabalho e respetiva legislação complementar ou noutros regimes
setoriais, com as especificidades estabelecidas no presente artigo.
2 - O número anterior abrange igualmente o tratamento efetuado por subcontratante ou
contabilista certificado em nome do empregador, para fins de gestão das relações laborais,
desde que realizado ao abrigo de um contrato de prestação de serviços e sujeito a iguais
garantias de sigilo.
3 - Salvo norma legal em contrário, o consentimento do trabalhador não constitui requisito de
legitimidade do tratamento dos seus dados pessoais:
5 - Nos casos previstos no número anterior, as imagens gravadas e outros dados pessoais
podem também ser utilizados para efeitos de apuramento de responsabilidade disciplinar,
na medida em que o sejam no âmbito do processo penal.
6 - O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para
controlo de assiduidade e para controlo de acessos às instalações do empregador.
7 - A transferência de dados pessoais de trabalhadores entre empresas que se encontrem
em relação de domínio ou de grupo, ou mantenham estruturas organizativas comuns, só
é lícita nos casos de cedência ocasional de trabalhador e na medida que seja
proporcional, necessária e adequada aos objetivos a atingir.
8 - Os dados pessoais de trabalhadores podem ainda ser transferidos, nos termos do
número anterior, nas situações de cedência de trabalhador por parte de empresa de
Pág. 34
Não Esquecer!
Clientes
• As Empresas passam a ter a capacidade de demonstrar que a sua Organização
controla plenamente os Dados Pessoais, dando garantias acrescidas; Financeiras e
Reputacionais
• As Organizações vão conseguir reduzir o risco financeiro e Reputacional resultantes
da aplicação de multas e coimas; Inovação
• As Organizações ganham uma perspetiva antecipada dos riscos relacionados com a
proteção de Dados Pessoais em novas iniciativas e projetos e extrair maior valor dos
dados.
Pág. 35
2. ENFOQUE NO RISCO
a) Realizar um ANÁLISE DE RISCOS.
b) Rever MEDIDAS DE SEGURANÇA à luz dos resultados da análise aos riscos.
a) Caso seja necessário, realizar uma AVALIAÇÃO DE IMPACTO SOBRE
PROTEÇÃO DE DADOS.
Pág. 36
3. Implementar processos internos para dar resposta aos direitos ARCO (enquanto não for
possível automatizar).
218.320 Pedidos de Privacidade (Right to be Forgotten) à Google
4. Reestruturar e testar a segurança da informação (uma grande questão por direito próprio).
6. Alterar avisos de privacidade: quem tem acesso aos dados, porquê, por quanto tempo serão
conservados e os direitos dos titulares de dados
Pág. 37
SESSÃO 2
REGULAMENTO GERAL SOBRE PROTEÇÃO DADOS
O NOVO QUADRO LEGAL
RGPD
- O Novo Quadro Legal -
Pág. 38
Pág. 39
Pág. 40
RGPD – PRÍNCIPIOS
PRINCÍPIOS
a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados («licitude,
lealdade e transparência»);
b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados
posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para
fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para
fins estatísticos, não é considerado incompatível com as finalidades iniciais («limitação das
finalidades»);
d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas
adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados,
sejam apagados ou retificados sem demora («exatidão»);
e) Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante
o período necessário para as finalidades para as quais são tratados; os dados pessoais podem
ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para
fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para
fins estatísticos, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas
pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados
(«limitação da conservação»);
f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu
tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental,
adotando as medidas técnicas ou organizativas adequadas («integridade e
confidencialidade»);
Pág. 41
Pág. 42
Deste modo, para compreender a necessidade de nomear um DPO, deve ter em atenção três
conceitos determinantes: «atividades principais»; «grande escala» e «controlo regular e
sistemático»
Atividades principais
Exemplos:
1. a atividade principal de um hospital é a prestação de cuidados de saúde. Contudo, um
hospital não poderia prestar cuidados de saúde de forma segura e eficaz sem proceder
ao tratamento de dados relativos à saúde, designadamente os registos de saúde dos
doentes. Assim, o tratamento destes dados deve ser considerado uma das atividades
principais de qualquer hospital, cabendo, portanto, aos hospitais nomear um DPO;
2. Para dar outro exemplo, uma empresa de segurança privada exerce a vigilância de um
conjunto de centros comerciais privados e de espaços públicos. A vigilância é a atividade
principal da empresa, que, por sua vez, está indissociavelmente ligada ao tratamento de
dados pessoais. Por conseguinte, esta empresa deve igualmente designar um DPO. Por
outro lado, todas as organizações exercem determinadas atividades de apoio,
nomeadamente a remuneração dos seus trabalhadores ou atividades comuns de apoio
informático. Trata-se de exemplos de funções de apoio necessárias para a atividade
principal ou a área de negócio central da organização. Embora sejam necessárias ou
essenciais, por norma estas atividades são consideradas funções acessórias e não a
atividade principal.
Grande escala
O RGPD não define o que constitui um tratamento de grande escala. O GT 29 recomenda que,
em especial, os seguintes fatores sejam tomados em consideração para determinar se o
tratamento é efetuado em grande escala:
· o número de titulares de dados afetados – como número concreto ou em percentagem da
população em causa;
· o volume de dados e/ou o alcance dos diferentes elementos de dados objeto de tratamento;
· a duração, ou permanência, da atividade de tratamento de dados;
· o âmbito geográfico da atividade de tratamento.
Pág. 43
A noção de controlo regular e sistemático dos titulares dos dados não está definida no RGPD,
mas inclui claramente todas as formas de seguimento e de definição de perfis na internet,
designadamente para fins de publicidade comportamental. No entanto, a noção de controlo não
se cinge ao ambiente em linha.
Exemplos de atividades que podem constituir um controlo regular e sistemático dos titulares de
dados:
exploração de uma rede de telecomunicações; prestação de serviços de telecomunicações;
reorientação de mensagens de correio eletrónico; atividades de promoção comercial baseadas
em dados; definição de perfis e pontuação para fins de avaliação dos riscos (p. ex., para efeitos
de pontuação de crédito, fixação de prémios de seguro, prevenção de fraudes, deteção de casos
de branqueamento de capitais); localização, por exemplo, através de aplicações móveis;
programas de fidelização; publicidade comportamental; controlo de dados relativos ao bem-estar,
à condição física e à saúde através de usáveis; televisão em circuito fechado; dispositivos
conectados, por exemplo, contadores inteligentes, automóveis inteligentes, domótica, etc.
Na interpretação do GT 29, «regular» significa, neste caso, uma ou mais das seguintes
características:
· contínuo ou que ocorre a intervalos específicos num determinado período,
· recorrente ou repetido em horários estipulados,
· constante ou periódico.
Na interpretação do GT 29, «sistemático» significa, neste caso, uma ou mais das seguintes
características:
· que ocorre de acordo com um sistema,
· predefinido, organizado ou metódico,
· realizado no âmbito de um plano geral de recolha de dados,
· efetuado no âmbito de uma estratégia.
Mesmo quando não é obrigatório designar um DPO, a organizações poderão, nalguns casos,
considerar conveniente designar um DPO a título voluntário.
O WP 29 é favorável a estas iniciativas voluntárias.
Pág. 44
Quando uma organização designa um DPO a título voluntário, são aplicáveis à sua nomeação,
posição e atribuições os mesmos requisitos aplicáveis à designação obrigatória.
Funções do DPO
«controlo da conformidade»?
DPO Externo
Pág. 45
O DPO deve ser designado com base nas suas qualidades profissionais e, em especial, nos
seus conhecimentos especializados no domínio das normas e práticas de proteção de
dados, bem como na sua capacidade para desempenhar as respetivas funções.
WP29
As competências e conhecimentos especializados pertinentes incluem:
· competências no domínio das normas e práticas de proteção de dados nacionais e europeias,
incluindo um conhecimento profundo do RGPD,
· conhecimento das operações de tratamento efetuadas,
· conhecimento das tecnologias da informação e da segurança dos dados,
· conhecimento do setor empresarial e da organização,
· capacidade para promover uma cultura de proteção de dados no seio da organização.
Fonte: artigo 37.º, n.º 5, do RGPD
WP 29
Não. Os DPO não são pessoalmente responsáveis pelo incumprimento dos requisitos de
proteção de dados.
Compete ao responsável pelo tratamento ou ao subcontratante assegurar e poder comprovar que
o tratamento respeita o Regulamento aplicável.
O cumprimento das normas de proteção de dados é da competência do responsável pelo
tratamento ou do subcontratante.
CONSIDERANDO 78
(…) Para poder comprovar a conformidade com o RGPD, o responsável pelo tratamento
deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os princípios
da proteção de dados desde a conceção e da proteção de dados por defeito. Tais medidas
podem incluir (…) a transparência no que toca às funções e ao tratamento de dados
pessoais, a possibilidade de o titular dos dados controlar o tratamento de dados e a
possibilidade de o responsável pelo tratamento criar e melhorar medidas de segurança.
Pág. 46
Para garantir um tratamento equitativo e transparente: base legal, prazo de conservação dos
dados pessoais, direito de retirar consentimento em qualquer altura, direito de apresentar
reclamação a uma AC, existência de decisões automatizadas, incluindo a definição de perfis,
origem dos dados quando os dados pessoais não são recolhidos junto do titular, outras
informações úteis.
QUE SOLUÇÃO?
Estratégia de Privacidade
O Código de Ética (ou Código de Ética e Conduta, podendo também ser esta a designação, de
modo conjunto) orientará os trabalhadores da empresa no que concerne aos valores éticos e
morais nos quais a empresa se revê e procura implementar.
É, no fundo, um conjunto de normas de natureza moral e valorativa, orientadoras da conduta da
entidade.
Pág. 47
Adoção prática das “orientações internas” [considerando 78] quanto à recolha, gestão e arquivo
de dados pessoais.
A Política de Proteção de Dados Pessoais visa manter um nível de proteção dos dados recolhidos
que esteja de acordo com as normas legais aplicáveis e nos termos da qual se promova o
envolvimento de todos os trabalhadores da empresa no que respeita à sua motivação para a
necessidade manter a confidencialidade dos dados pessoais recolhidos.
Fonte: https://www.cncs.gov.pt/recursos/boas-praticas/a-seguranca-da-informacao-para-o-
colaborador/
Pág. 48
Pág. 49
O MERCADO
Várias soluções e apresentações de software concentradas nos aspetos de gestão de dados do
RGPD – asseguram o âmbito de "consentimento, eliminação, bloqueio e retenção" de dados.
Bom Ponto de Partida. No entanto…
O DESAFIO
No entanto, o desafio colocado pelo RGPD às empresas é mais sobre as mudanças
organizacionais e processuais que serão necessárias para demonstrar que uma empresa leva
a sério a necessidade de proteger os dados pessoais como um “business-as-usual” e a todos
os níveis: partes interessadas, operações, tecnologia e parcerias.
Pág. 50
O RGPD É COMPLEXO?
Quase metade dos artigos do RGPD estão relacionados com processos de negócio
associados a:
1. Políticas (de privacidade);
2. Conservação de registos de tratamento;
3. Responsabilidades e funções de entidades,
a fim de demonstrar que a abordagem de uma empresa para lidar com dados pessoais é levada
tão a sério quanto o regulamento o exige.
Subcontratantes com obrigações diretas, como responsáveis. Devem manter um registo escrito
das categorias de tratamento realizadas em nome de cada responsável pelo tratamento e
notificar logo que tenham conhecimento de uma violação de dados, sem demora injustificada.
Os responsáveis pelo tratamento devem manter um registo escrito das atividades de
tratamento.
Pág. 51
Nota: não é suficiente alcançar este requisito tecnicamente. Deve ser criada uma Governance
firme para a gestão desta tarefa.
Pág. 52
O titular dos dados é a "pessoa singular identificada ou identificável" (i.e. da pessoa a quem os
dados dizem respeito).
Exemplos:
Trabalhador/a(s)
Candidato/a(s) a emprego
Pessoa(s) de contacto de emergência do trabalhador
Paciente(s)
Cliente(s)
Fornecedor/a(s)
Prestador/a(s) de serviços
Funcionário/a(s) eleito/a(s)
Utilizador/a(s) do sistema
Participante(s) de um estudo
Funcionário(s) de um organismo público
Professor(es)
Exemplos:
Recursos Humanos
Recrutamento e Seleção
Saúde
Dados de arrendamentos
Dados de empréstimos
Filiação sindical
Dados de natureza financeira
Pág. 53
Implicar “Risco”
Considerando 75
O risco para os direitos e liberdades das pessoas singulares (…) poderá resultar de operações de
tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, em
especial quando o tratamento possa dar origem à discriminação, à usurpação ou roubo da
identidade, a perdas financeiras, prejuízos para a reputação, perdas de confidencialidade de dados
pessoais protegidos por sigilo profissional, à inversão não autorizada da pseudonimização, ou a
quaisquer outros prejuízos importantes de natureza económica ou social; quando os titulares dos
dados possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controlo
sobre os respetivos dados pessoais; quando forem tratados dados pessoais que revelem [dados
sensíveis]; quando forem avaliados aspetos de natureza pessoal, em particular análises ou
previsões de aspetos que digam respeito ao desempenho no trabalho, à situação económica, à
saúde, às preferências ou interesses pessoais, à fiabilidade ou comportamento e à localização ou
às deslocações das pessoas, a fim de definir ou fazer uso de perfis; quando forem tratados dados
relativos a pessoas singulares vulneráveis, em particular crianças; ou quando o tratamento incidir
sobre uma grande quantidade de dados pessoais e afetar um grande número de titulares de dados.
Implicar “Risco”
Considerando 75 e WP 248 (orientação sobre DPIAs)
Pág. 54
Exceção do art.º 30, n.º 5. Entidades com menos de 250 trabalhadores, salvo se se verificar
alguma das seguintes condições (alternativas, e não cumulativas, como se retira do “...não
seja ocasional ou abranja as...”):
1. Os tratamentos de dados efetuados sejam suscetíveis de implicar risco para os
direitos e liberdades dos titulares;
2. Os tratamentos de dados efetuados não sejam ocasionais; OU
3. Os tratamentos de dados efetuados abranjam as categorias especiais de dados do
art.º 9.º ou os dados do art. 10.º.
Pág. 55
Nota do formador:
Em conclusão, preceito é de difícil interpretação, não sendo claro se as condições de exclusão de
exceção devem mesmo ser alternativas (porque, na prática, se não forem cumulativas, obrigam
quase todos a manter registo – o que não parece ser o propósito da exclusão, que visa salvaguardar
as PMEs desta obrigação, como se retira do critério do número de trabalhadores empregados).
Pode argumentar-se que todas precisam de registo; pode argumentar-se no sentido contrário – o
certo é que, mesmo que não seja legalmente obrigatório, é recomendado manter-se um registo, já
que parece ser a forma mais eficiente e adequada de mapear as atividades de tratamento
realizadas e demonstrar o cumprimento com o RGPD às autoridades de controlo.
Pág. 56
CONSIDERAÇÕES FINAIS
Pelo exposto,
O RGPD versa essencialmente sobre duas coisas: o uso ético de dados pessoais e manter
esses dados pessoais seguros.
ADAPTAÇÃO AO RGPD
2. FOCO NO RISCO
a) Realizar um ANÁLISE DE RISCOS.
b) Rever MEDIDAS DE SEGURANÇA à luz dos resultados da análise aos riscos.
c) Caso seja necessário, realizar uma AVALIAÇÃO DE IMPACTO SOBRE
PROTEÇÃO DE DADOS.
Pág. 57
Pág. 58
• Working Document setting up a table with the elements and principles to be found
in Binding Corporate Rules, WP 153, 24.06.2008
• Working document on a common interpretation of Article 26(1) of Directive
95/46/EC of 24 October 1995, WP 114, 25.11.2005
• Working Document on Transfers of personal data to third countries: Applying
Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for
International Data Transfers, WP 74, 03.06.2003
• Working Document: Transfers of personal data to third countries: Applying Articles
25 and 26 of the EU data protection directive , WP 12, 24.6.1998
• Opinion 03/2016 on the evaluation and review of the e-Privacy Directive, WP 240,
19.7.2016
• Opinion 2/2010 on online behavioural advertising , WP 171, 22.6.2010
• Opinion 04/2012 on Cookie Consent Exemption, WP 194, 7.6.2012
• Working Document 02/2013 providing guidance on obtaining consent for cookies , WP
208, 2.10.2013
3. Jurisprudência
• Guidelines on the Rights of Individuals with regard to the Processing of Personal Data,
25.2.2014
• Position paper on the role of Data Protection Officers in ensuring effective compliance
with Regulation (EC) 45/2001, 28.11.2015
• Policy Paper on Monitoring and Ensuring Compliance with Regulation (EC) 45/2001,
13.12.2010
Pág. 59
5. Recomendações Bibliográficas
Pág. 60
CASOS PRATICOS
Pág. 61
Caso Prático: Política de Privacidade para o uso da Aplicação XPTO
POLÍTICA DE PRIVACIDADE
A recolha e tratamento de dados pessoais foi delineada para estar em concordância com o Regu-
lamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo
à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção
de Dados).
O Responsável pelo tratamento dos dados é a ORGANIZAÇÃO, com sede XXXXXXX. Pode
entrar em contato com o responsável pelo tratamento dos dados a qualquer momento com
qualquer dúvida sobre proteção de dados ou por __________ ou por ___________.
Ao aceder e utilizar a Aplicação, seu conteúdo e/ou aos nossos serviços, o utilizador aceita e
____________ livre e expressamente, mediante ato positivo inequívoco, autoriza que os seus
dados pessoais, solicitados ou opcionalmente fornecidos por si, sejam recolhidos e tratados pela
ORGANIZAÇÃO nos termos aqui previstos.
A utilização da Aplicação pressupõe que os Utilizadores conhecem e aceitam os termos e condi-
ções da presente Política de Privacidade.
A ORGANIZAÇÃO não recolhe nem processa qualquer dado pessoal ou informação obtida
através da Aplicação para efeitos de permitir a sua exploração, por qualquer forma, por terceiros.
Quando utiliza a nossa Aplicação, corresponde-se connosco, sendo que ao comunicar com a
OR- GANIZAÇÃO, poderemos recolher informação pessoal. Esta informação poderá conter:
nome, nú- mero de telefone, fotografia, género, _______, __________, ____________ .
Pág. 62
5. Existência de decisões automatizadas
A ORGANIZAÇÃO garante a proteção dos seus dados pessoais contra qualquer perda,
destruição, alteração, acesso, ou utilização indevida ou não autorizada adotando para o efeito
todas as medi- das legalmente exigidas para o efeito.
Para estes efeitos, a ORGANIZAÇÃO possui medidas técnicas e _________ que visam ga- rantir
a segurança da informação e protege-la contra quaisquer atos deliberados ou acidentais que
possam provocar a sua manipulação, destruição, perda ou utilização não autorizada.
Apesar dos nossos esforços, alertamos que a Internet poderá não constituir um lugar seguro de
comunicação. De facto, a informação veiculada através da Internet poderá ser intercetada por
terceiros. Assim, não poderemos garantir em absoluto a segurança e autenticidade da
informação que nos seja enviada por esta via. Ao utilizar esta Aplicação e nele inserir informação,
expressa- mente aceita que o faz de acordo com a sua expressa vontade e assumindo o
correspondente ris- co.
A ORGANIZAÇÃO
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
Nos termos do Regulamento Geral sobre Proteção de Dados, o titular dos dados tem o direito de
solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe digam respeito, bem
como a sua retificação ou o seu apagamento. O titular dos dados tem ainda o direito de exigir,
em determinadas circunstâncias, a limitação do tratamento dos dados pessoais, assim como tem
o direito de se opor ao tratamento e o direito de portabilidade dos dados.
O titular dos dados tem ainda o direito de retirar o consentimento dado ao tratamento dos mes-
mos, em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no con-
sentimento previamente dado.
Pág. 63
9. Direito de apresentar uma ____________ a uma autoridade de controlo
Nos termos do RGPD, informa-se que o titular dos dados tem o direito de apresentar
______________à autoridade de controlo competente, no caso a Comissão Nacional de
Proteção de Dados.
10. O ______________________
11. Contactos
Questões, comentários e pedidos relacionados com esta e os seus direitos deverão ser
endereçados para info@ti-ex.pt ou de comunicação escrita para o seguinte endereço:
Pág. 64
Formação Data Protection Officer – O Encarregado da Proteção de Dados
Avaliação de Impacto sobre a Proteção de dados e a Proteção de Dados By Design na prática.
“Ma3tch technology”
A criação do Mercado Único Europeu e a eliminação das fronteiras nacionais não só levou a um
aumento dos negócios, comércio, concorrência e emprego, mas também facilitou as atividades
transfronteiriças de lavagem de dinheiro e de crimes financeiros. De forma a combater estas
ameaças transfronteiriças, tem existido uma necessidade crescente em eliminar as barreiras à
comunicação e à partilha de informações entre os Estados-Membros. O estabelecimento de
agências governamentais especializadas – Financial Intelligence Units – FIUs – representa um
esforço para desenvolver um sistema cpaz de combater a lavagem de dinheiro e outros crimes
financeiros ao nível da UE. As FIUs são unidades centrais, nacionais dos Estados-Membros em
que, com a finalidade de combater a lavagem de dinheiro e o terrorismo financeiro, recolhem e
analisam informação relativa a factos que possam indiciar estes crimes. Como função principal,
as FIUs recebem e, em certa medida, solicitam, analisam e divulgam às autoridades
competentes (p.ex autoridades com poder judicial) informação financeira relativa a
procedimentos suspeitos de configurar crime e potencial financiamento do terrorismo, ou
requerida pela legislação nacional, tendo em vista o combate à lavagem de dinheiro e ao
terrorismo financeiro.
Neste processo, as FIUs enfrentam o desafio de lidar com dois possíveis conflitos de interesse
em jogo: as FIUs devem saber mais sobre os cidadãos da UE e tratar os seus dados pessoais
(muitas vezes dados sensíveis), de forma a combater a lavagem de dinheiro e o terrorismo
financeiro, enquanto, ao mesmo tempo, garantir proteção forte e efetiva da privacidade e
proteção dos dados pessoais dos titulares. Na recolha de informações, as FIUs devem cooperar
e poderão solicitar troca de informações a FIUs de outro Estado-Membro. Para receber estas
informações, as FIUs utilizam a rede descentralizada de computadores FIU.NET. A FIU.NET
permite a troca de informação sobre cidadãos da UE entre as FIUs nacionais.
Pág. 65
A Ma3tch permite que as FIUs conectadas façam correspondências (match) com os dados de
outras FIUs, com o intuito de verificar se as outras FIUs têm informação acerca de uma pessoa
em particular nas suas bases de dados, para conduzir análises conjuntas para a deteção de
relações e redes e identificar tendências, irregularidades, classificações, correlações ou outliers
entre as fontes de dados distribuídas. Isto é alcançado através da criação de filtros anónimos
que podem ser usados para determinar a aproximação de correspondências (matches) entre as
FIUs sem a necessidade de serem expostos ou partilhados os dados pessoais para além dos
seus princípios/finalidades. Na sua essência, a Ma3tch captura as “características” originais dos
dados. Por exemplo, se a tecnologia Ma3tch se aplica a uma lista de 4 registos contendo detalhes
pessoais, o resultado será um filtro do tipo _”Nm0a”_. Isto não é uma encriptação e é mais do
que apenas hashing (função criptográfica). Na realidade, o que se faz é “hashing the hash” (o
algoritmo que mapeia dados de comprimento variável para dados de comprimento fixo é,
inclusive, criptografado). O texto encriptado pode ser desencriptado. O texto em hash é
irreversível, mas pode ser potencialmente rastreado através de uma “rainbow table” - uma tabela
de consulta de hashes pré-calculados. Criptografar um texto em hash (“hashing the hash”) é
irreversível e não pode ser rastreado por um indivíduo. Uma vez criado o filtro (p.ex
_”Nm0a”_) não existe a possibilidade de rastrear o conteúdo original do filtro.
Pág. 66