Novo Regulamento Geral de Proteção de Dados (RGPD)

Como o RGPD vai afetar a sua política de proteção de dados

FAÇA O TESTE DE CONFORMIDADE DESCARREGUE GUIA GRÁTIS

Está em conformidade com o RGPD?

Em Maio de 2018, entra em vigor uma nova regulamentação Europeia relativa à Proteção de Dados.

Se o afeta, necessita de começar a pensar como vai cumprir todos os requisitos. Este site foi desenvolvido para o ajudar a compreender o RGPD e oferecer soluções. O Novo Regulamento Geral de Proteção de Dados vai afetar todas as empresas europeias que lidam com todos os tipos de informações pessoais. Afeta igualmente qualquer empresa internacional que está ativa na União Europeia. As regras são complexas e as multas para quem não cumprir os requisitos são significativas (até 20 milhões de Euros).

No entanto, está no sítio certo para ficar informado.

https://encryption.eset.com/pt/wp-content/uploads/sites/16/2016/11/calendar.png

Obtenha o seu guia grátis

A ESET e um experiente grupo jurídico desenvolveram este guia que analisa como a nova regulamentação europeia o poderá afetar.

https://encryption.eset.com/pt/wp-content/uploads/sites/16/2016/11/guide_general_data_protection_regulation.png

Teste online de conformidade

Este site foi desenvolvido com o objetivo de o ajudar a compreender o RGPD, quantificar os requisitos e oferecer soluções.

Conformidade com o RGPD, passo a passo

As implicações do RGPD são complexas e por esse motivo dividimos o processo de conformidade em três grupos de medidas que deve considerar. As mesmas estão subdivididas em várias áreas e com explicações mais detalhadas. Clique nas barras presentes no diagrama abaixo para examinar as áreas que mais lhe interessam.

+Em resumo

Alguns dos princípios enunciados no RGPD são uma continuação dos estabelecidos na atual Diretiva relativa à proteção de dados, nomeadamente: a equidade, a legalidade e a transparência; Limitação de finalidade; Minimização de dados; Qualidade dos dados; Segurança, integridade e confidencialidade.

O RGPD estabelece um novo princípio de responsabilização ao tornar os controladores de dados como os responsáveis pela demonstração do cumprimento dos princípios. Além disso, o RGPD acrescenta novos aspectos aos princípios existentes de proteção de dados, tais como

Legalidade, equidade e transparência – Os dados pessoais devem agora ser tratados de forma transparente em relação à pessoa em causa.

Limitação de finalidade – Com algumas exceções, o armazenamento de dados pessoais de interesse público não será considerado incompatível com os propósitos originais de processamento.

Armazenamento – Os dados pessoais devem ser conservados de forma a permitir ao identificação das pessoas em causa durante um período não superior ao necessário para os fins para os quais os dados pessoais são tratados.

Responsabilidade – O responsável pelo tratamento dos dados torna-se responsável pelo cumprimento dos princípios e deve ser capaz de demonstrá-lo.

+Requisitos da estrutura organizacional

De acordo com o RGPD, deve implementar uma ampla gama de medidas que assegure uma redução significativa da possibilidade de violação das novas normas e demonstre que leva a proteção de dados muito a sério. Entre as medidas de responsabilização necessárias estão: Avaliações de impacto sobre a privacidade, auditorias, revisões de políticas, registo de atividades e (potencialmente) a nomeação de um responsável de proteção de dados (DPO).

O RGPD introduz a obrigação de certas organizações nomearem um Responsável pela Protecção de Dados (DPO). As organizações devem nomear um funcionário ou um consultor externo como seu RTD.

Se é um marketeer com uma grande base de dados de consumidores, eventualmente irá necessitar de nomear um DPO; As autoridades nacionais de proteção de dados deverão fornecer orientações sobre quem se qualifica.

O RTD será responsável pelo controlo da conformidade com o RGPD, aconselhando-o acerca das suas obrigações, sobre quando e como uma avaliação de impacto acerca da privacidade deverá ser realizada e deverá funcionar como ponto de contacto para as investigações das autoridades nacionais de proteção de dados e indivíduos.

O conceito de balcão único permite a uma organização estabelecida em vários países da UE lidar com apenas a legislação de proteção de dados de um país autoridade de proteção de dados , apesar das regras para determinar que RTD deve assumir este papel e como irão lidar com reclamações, seja complexa em alguns casos.

+Processos, procedimentos e políticas

O RGPD redefine uma fuga de dados como “uma violação de segurança que conduza à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados de outro modo processados”.

Esta é uma definição mais ampla do que antes e não leva em consideração se a violação cria danos ao indivíduo. Se sofrer uma violação de segurança de dados, tem de informar imediatamente a autoridade nacional de protecção de dados, ou o mais tardar 72 horas após a descoberta da violação .

No entanto, está isento de notificar indivíduos se tiver implementado medidas técnicas e organizacionais adequadas para proteger os dados pessoais, como a encriptação.

Uma parte importante do cumprimento do RGPD é a privacidade por projeto, ou seja, desenvolver cada novo processo ou produto com requisitos de privacidade frente e centro. Esta abordagem, embora anteriormente fosse apenas uma melhor prática, é agora um requisito explícito.

Uma avaliação de impacto de protecção de dados, também conhecida como avaliação do impacto sobre a privacidade (ISP), destina-se a identificar e minimizar os riscos de incumprimento.

O RGPD torna o ISP num requisito formal; especificamente, os controladores devem assegurar que foi efetuado um ISP, antes do início, em qualquer atividade de processamento de “alto-risco”.

Se operar internacionalmente, as regras e processos para a transferência de dados para as jurisdições fora da UE será uma consideração significativa, uma vez que as sanções por incumprimento ou transferência de dados para jurisdições não reconhecidas pela Comissão Europeia como tendo uma regulamentação adequada em matéria de protecção de dados tornar-se-ão muito mais severas no âmbito do RGPD.

+Consciência para a Segurança dos Dados

Agora é a altura de começar a explicar a necessidade da conformidade com o RGPD aos seus próprios funcionários. Eventualmente deverá começar a planear procedimentos especiais para lidar com as novas disposições de transparência e direitos individuais do RGPD. Isto pode ter implicações financeiras significativas, de TI e de formação.

+Responsabilidade - medidas técnicas

O RGPD torna os  controladores responsáveis pela demonstração do cumprimento dos seus princípios de proteção de dados e por esse motivo deve certificar-se de que tem políticas claras em vigor para comprovar que está de acordo com os padrões exigidos, verificando, analisando e avaliando regularmente os seus procedimentos de processamento de dados e garantindo que os seus colaboradores estão treinados para entenderem as suas obrigações – e estão prontos para o demonstrar a qualquer momento, quando for exigido pela autoridade nacional de proteção de dados.

+Violação de dados - medidas técnicas

Deve estar preparado para eventuais violações de segurança de dados (definidas como “ uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados de outra forma processados”) através de políticas claras e procedimentos testados no local, de modo a garantir que pode reagir e notificar quem de direito aquando da violação de dados.

A falta de comunicação de uma violação, pode resultar numa multa, bem como numa multa adicional referente à própria violação de dados.

+Assegurar os direitos dos titulares de dados - tecnicamente

O RGPD reforça os direitos das pessoas em causa , por exemplo, adicionando o direito de exigir informações sobre os dados que estão a ser guardados, acesso aos dados em determinadas circunstâncias e correção de dados errados.

Um dos principais objectivos do RGPD é reforçar os direitos dos indivíduos. Como resultado, as regras para lidar com solicitações de acesso a assuntos serão alteradas e irá necessitar de atualizar os seus procedimentos.

Na maioria dos casos, não será capaz de cobrar pelo cumprimento de um pedido e, normalmente, terá apenas um mês para cumprir, em vez dos atuais 30 dias.

O direito a ser esquecido (‘eliminado’ na terminologia do RGPD) permite aos indivíduos solicitarem aos controladores de dados a eliminação de todos os dados pessoais sem demora injustificada em determinadas situações, por exemplo, quando há um problema com a legalidade subjacente do tratamento ou quando retiram o seu consentimento.

Os terceiros com quem partilha dados de indivíduos também estão cobertos por estas regras.

O RGPD define profiling como “qualquer forma de tratamento automatizado de dados pessoais que consista na utilização de dados pessoais para avaliar determinados aspectos pessoais relacionados com uma pessoa singular, nomeadamente para analisar ou prever determinados aspectos relativos ao desempenho desta pessoa no local de trabalho, à situação económica, à saúde, Interesses, confiabilidade, comportamento, localização ou movimento”; no entanto, há alguma ambiguidade sobre como o direito dos sujeitos dos dados a não serem sujeitos a decisões baseadas em perfis serão aplicados.

O RGPD introduz um novo direito à portabilidade de dados, que vai além do direito dos indivíduos de exigir que forneça os seus dados num formato eletrônico que é utilizado normalmente e exige que o controlador forneça informações de forma estruturada e legível por um computador.

Existem alguns limites a esta regra, por exemplo, só se aplica a dados pessoais processados por meios automatizados.

Como parte do objectivo de reforçar os direitos dos indivíduos, a Comissão Europeia concede também o direito de restringir certos direitos de se oporem a que os dados pessoais sejam tratados para fins de comercialização directa, incluindo actividades de perfil para fins de comercialização directa.

As organizações devem informar os indivíduos sobre o seu direito de se oporem ao tratamento dos seus dados de uma forma explícita e separada de outras informações que também devem fornecer aos indivíduos.

+Comunicando informações de privacidade (consentimentos, avisos de processamento)

Pode necessitar de rever a forma como procura, obtém e regista o consentimento; o sujeito de dados  consentimento para o tratamento dos seus dados pessoais deve ser tão fácil de retirar quanto dar e deve ser também uma indicação positiva de acordo não pode ser inferido do silêncio, caixas pré-marcadas ou inatividade.

O RGPD concede protecções especiais quando se trata do tratamento de dados pessoais relativos a crianças, particularmente em relação a serviços comerciais de Internet como redes sociais.

Como resultado, deve começar a pensar na implementação de sistemas robustos para verificar a idade dos indivíduos e para obter o consentimento dos pais ou responsáveis para processar tais dados.

O RGPD provavelmente aumentará o leque de coisas que tem a dizer As pessoas em causa , por exemplo a sua base jurídica para o tratamento dos seus dados, os seus períodos de retenção de dados e o seu direito de apresentar queixa à sua autoridade nacional de protecção de dados ee eles acham que há um problema com a maneira como você está lidando com seus dados; Observe que o RGPD exige que essas informações sejam fornecidas em linguagem concisa e clara.

+Segurança dos dados (integridade e confidencialidade)

O RGPD estabelece princípios de segurança de dados semelhantes aos da directiva actual, incluindo: equidade, legalidade e transparência; Limitação de finalidade; Minimização de dados; Qualidade dos dados; Segurança, integridade e confidencialidade.

Deve assegurar que dados pessoais seja processado de forma a assegurar a sua segurança, incluindo a protecção contra o processamento não autorizado ou ilícito e contra perdas, destruições ou danos acidentais: “A organização e qualquer prestador de serviços terceirizado devem implementar medidas técnicas e organizacionais apropriadas, para garantir um nível de segurança adequado ao risco”.

O regulamento sugere algumas número de medidas de segurança que podem ser utilizadas para alcançar a protecção de dados, incluindo: pseudonimização e encriptação de dados pessoais; A capacidade de assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência dos sistemas e serviços que processam dados pessoais; A capacidade de restaurar a disponibilidade eo acesso a dados pessoais em tempo hábil no caso de um incidente físico ou técnico; E um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento de dados pessoais.

O RGPD especifica a encriptação como uma abordagem que pode ajudar a garantir o cumprimento de algumas das suas obrigações. Para citar o regulamento:

Artigo 32 – Segurança do processamento

“1.   Tendo em conta o estado da tecnologia, os custos de execução e a natureza, âmbito, contexto e finalidades do tratamento, bem como o risco de variação da probabilidade e da gravidade dos direitos e liberdades das pessoas controller and the processador s implementar medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, inter alia, se for caso disso: a) a pseudonimização e a encriptação de dados pessoais. […]”

Artigo 34 – Comunicação de uma violação de dados pessoais à pessoa em causa

“3. A comunicação à pessoa em causa referida no n.º 1 não será exigida se estiver preenchida uma das seguintes condições: (a) O controlador Implementou medidas de protecção técnica e organizacional adequadas e essas medidas foram aplicadas aos dados pessoais afectados pela violação de dados pessoais, que tornam os dados pessoais ininteligíveis para qualquer pessoa que não esteja autorizada a acessá-la, como encriptação. […]”

+Documentação dos dados, base jurídica e auditoria

Deve documentar quais os dados pessoais que possui, de onde vieram e com quem partilha.

Se tiver dados pessoais imprecisos e os tiver partilhado com outra organização, o RGPD exige que informe a outra organização sobre a inexatidão para que ela possa corrigir os seus próprios registos. Para fazer isso, pode exigir uma auditoria de informações em toda a sua organização ou em áreas de negócio específicas. Isso também irá ajudá-lo a cumprir o princípio de responsabilidade do GDPR.

De acordo com o RGPD, deve examinar como processa dados pessoais e identifica a base legal na qual executa e documenta esses processos.

Isto é necessário porque os direitos de alguns indivíduos serão modificados pelo RGPD, dependendo da sua base legal para o processamento dos seus dados pessoais. Um exemplo é que as pessoas terão um direito mais forte de terem os seus dados excluídos quando usar o consentimento como a sua base legal para processamento. No entanto, o consentimento é apenas uma das várias maneiras de legitimar a atividade de processamento e pode não ser o melhor (como pode ser retirado).

As informações apresentadas nesta página web não constituem uma opinião jurídica, e os utilizadores não devem confiar na sua exactidão quando tomam decisões financeiras ou empresariais. A ESET não será responsável pelos resultados resultantes de tais ações. Procure sempre aconselhamento jurídico independente.

Junte-se ao webinar GDPR

Fale com os nossos especialistas acerca do novo RGPD e a forma como vai afetar as empresas. A ESET está a efetuar diversos webinars para explicar os objetivos e funcionamento do RGPD. Estes webinars são grátis: registe-se abaixo e será convidado para o próximo evento.

Nearly 80% of companies are not ready for GDPR

Um novo estudo conduzido por analistas independentes da IDC concluiu que a maioria das pequenas e médias empresas europeias não estão preparadas para o RGPD. A IDC inquiriu profissionais de TI em mais de 700 empresas. A conclusão principal é que o conhecimento da nova regulamentação continua baixo. 

Para mais informações- e para saber mais acerca do RGPD – obtenha o relátorio IDC completo, cortesia da ESET:

Analisando o impacto do RGPD

25% none | 52% limited | 22% full

Utilizamos cookies para garantir a melhor experiência de navegação. Mais informações.

OK