SlideShare uma empresa Scribd logo

RGPD - Testemunho do Mundo Real

Transferir como PPTX, PDF
André Vala
André Vala

Este documento resume as principais informações sobre o Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, incluindo: 1) O que é o RGPD e seus objetivos; 2) As obrigações das organizações sob o RGPD; 3) Os direitos dos indivíduos protegidos pelo RGPD.

Direito
1 de 48
IT Deputy Director | Business Technology Office Servers and Services MVP https://andrevala.com /in/andrevala @atomicvee andre.vala@gmail.com
Esta sessão pretende transmitir a minha experiência com o processo de conformidade com o RGPD até ao momento. Não é uma explicação exaustiva sobre o Regulamento nem apresenta uma fórmula para garantir essa conformidade. As opiniões proferidas são pessoais e não representam a visão de nenhuma organização em particular.
1 2 3 4
• Regulamento Geral de Proteção de Dados • Entra em vigor a 25 de Maio de 2018 • Pretende devolver aos cidadãos europeus o controlo efetivo dos seus dados pessoais. Qualquer informação relacionada com uma pessoa identificada ou identificável. Inclui identificadores online como endereços IP e cookies. 1 O QUE É O RGPD?
• Processamento justo, legal e transparente • Recolhido com um objetivos específicos, explícitos e legítimos • Adequados, relevantes e limitados ao necessário para o objetivo do seu processamento • Precisos e atualizados • Mantidos num formato que permita a identificação dos sujeitos apenas pelo tempo necessário ao objetivo do seu processamento • Processado com medidas técnicas e organizacionais que garantam a segurança apropriada e protecção contra utilização indevida, perda acidental, destruição ou dano. 1 O QUE É O RGPD?
• Todas as entidades públicas e privadas, incluindo entidades subcontratadas, que procedam ao tratamento de dados pessoais de cidadãos europeus, independentemente da sua localização. • Apenas dados pessoais de pessoas singulares. Não se aplica a empresas. 1 O QUE É O RGPD?
Controlo feito pela Comissão Nacional de Proteção de Dados (CNPD) https://www.cnpd.pt Entidades públicas isentas de coimas por 3 anos (artigo 59º da proposta de Lei) com reavaliação no final desse período. 1 O QUE É O RGPD? Proposta de Lei nº 120/XIII aprovada a 22 de Março de 2018 http://app.parlamento.pt/webutils/docs/doc.pdf?path=6148523063446f764c3246795a5868774d546f334e7 a67774c336470626d6c7561574e7059585270646d467a4c31684a53556b76644756346447397a4c33427762 4445794d43315953556c4a4c6d527659773d3d&fich=ppl120-XIII.doc&Inline=true
1 O QUE É O RGPD? Entidade Mínimo Máximo Grandes Empresas 5.000 € 20.000.000 € ou 4% volume de negócios anual (a nível mundial) PMEs 2.000 € 2.000.000 € ou 4% volume de negócios anual (a nível mundial) Pessoas singulares 1.000 € 500.000 € Entidade Mínimo Máximo Grandes Empresas 2.500 € 10.000.000 € ou 2% volume de negócios anual (a nível mundial) PMEs 1.000 € 1.000.000 € ou 2% volume de negócios anual (a nível mundial) Pessoas singulares 500 € 250.000 € CONTRAORDENAÇÃO MUITO GRAVE CONTRAORDENAÇÃO GRAVE
• Consentimento do indivíduo • Obrigação contratual entre a organização e o indivíduo • Satisfação de uma obrigação legal • Proteção dos interesses vitais do indivíduo • Execução de tarefa de interesse público • Para o interesse legítimo da organização
• Tem que ser dado de forma livre, específica, informada e explícita • Através de formulários próprio ou ação positiva • Necessário conseguir demonstrar que o consentimento foi dado cumprido estes requisitos • O titular dos dados pode revogar o consentimento • Para menores de 13 anos, é necessário o consentimento dos pais 1 O QUE É O RGPD?
• Fornecer informação transparente • Nomear um Data Protection Officer (DPO) • Realizar Data Protection Impact Assessments (DPIA) • Data Protection by Design and Default • Notificar em caso de Violação/Perda 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
• Pelo menos, fornecer informação sobre: • Identificação da organização • Razão para tratamento de dados • Base legal para tratamento de dados • Quem terá acesso aos dados (se aplicável) • Em alguns casos, indicar também: • Contacto do DPO • Interesse legítimo (quando é a base para o tratamento de dados) • Período de retenção dos dados • Direitos de proteção de dados do indivíduo • Como revogar o consentimento (quando o consentimento é a base para o tratamento de dados) • Se existe obrigação legal ou contratual de fornecer os dados • Em caso de decisão automática, informação sobre a lógica, significado e consequências da decisão 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
2 OBRIGAÇÕES DAS ORGANIZAÇÕES
• Nomeado pela organização • Obrigatório na Administração Pública e entidades privadas que tratem informação sensível ou em grande escala • Colaborador ou prestador de serviços com conhecimentos em matéria de privacidade e proteção de dados • Responsável por • Monitorização e cumprimento integral das obrigações previstas no RGPD • Pessoa de contacto para qualquer assunto com a autoridade supervisora 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
2 OBRIGAÇÕES DAS ORGANIZAÇÕES
• Nomeado por cada área de atuação da organização • Colaborador com conhecimento sólido da organização, dos processos de tratamento de dados e dos fornecedores com relações contratuais • Responsável por • Ponto de contacto com o DPO para esclarecimentos, sinergias e reporte de incidentes de segurança • Encaminhamento de pedidos dos titulares para o DPO • Garantir a execução dos DPIAs sempre que necessário • Registo de fornecedores que tratem dados pessoais de clientes e/ou colaboradores 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
• Análise que permite identificar, avalia e mitigar or minimizar riscos de privacidade em atividades de processamento de dados • Relevante quando são introduzidos novos processos, sistemas ou tecnologias de processamento de dados • Obrigatório quando existe: • Uma avaliação sistemática e aprofundada de aspetos pessoais de um indivíduo; • Processamento de dados sensíveis em larga escala; • Monitoria sistemática de áreas públicas, em larga escala.
• By Design • Proteção de dados é tida em conta no desenho inicial da solução • Minimiza riscos de privacidade e aumenta a confiança • By Default • A opção que garanta maior privacidade, é a opção selecionada por omissão 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
2 OBRIGAÇÕES DAS ORGANIZAÇÕES
• Violação ou perda acontece quando dados pessoais pelos quais a organização é responsável são libertados, seja acidentalmente ou propositadamente, para recipientes não autorizados. • Autoridade tem que ser notificada em 72 horas • Pode ser necessário informar todos os indivíduos afetados 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
2 OBRIGAÇÕES DAS ORGANIZAÇÕES
• Direito ao acesso • Direito à portabilidade • Direito ao apagamento • Direito à rectificação • Direito à oposição • Direito a contestar decisões automatizadas 3 DIREITOS DOS INDIVÍDUOS
• Indivíduos têm direito ao acesso aos seus dados pessoais • Acesso deve ser gratuito • Dados devem ser fornecidos num formato acessível • Todos os dados do indivíduo que são processados 3 DIREITOS DOS INDIVÍDUOS
3 DIREITOS DOS INDIVÍDUOS
• Previsto no artigo 20º do RGPD • Quando o tratamento de dados é baseado em consentimento ou contrato • Dados destinados a serem transmitidos a outra organização • Abrange apenas dados fornecidos pelos titulares • Dados devem ser fornecidos em formato comum legível por computadores (XML, JSON, CSV, etc...) 3 DIREITOS DOS INDIVÍDUOS
3 DIREITOS DOS INDIVÍDUOS
• Direito ao esquecimento • O indivíduo pode pedir para que sejam eliminados todos os seus dados pessoais • Excepções • Processamento é necessário para respeitar a liberdade de expressão e informação • Obrigações legais • Existência de razões de interesse público (saúde pública, investigação científica ou histórica, etc) • Processos legais em curso 3 DIREITOS DOS INDIVÍDUOS
3 DIREITOS DOS INDIVÍDUOS
Se os seus dados pessoais estiverem incorretos, incompletos ou imprecisos, o indivíduo pode requerer a sua correção imediata 3 DIREITOS DOS INDIVÍDUOS
3 DIREITOS DOS INDIVÍDUOS
• Se o tratamento for baseado em interesse legítimo ou interesse público, o indivíduo pode objetar a esse tratamento • O processamento do dados do indivíduo deverá cessar imediatamente, exceto se o interesse legítimo se sobrepuser ao interesse individual. 3 DIREITOS DOS INDIVÍDUOS
3 DIREITOS DOS INDIVÍDUOS
• Indivíduos têm o direito de não se sujeitar a uma decisão baseada exclusivamente em processamento automático • A organização tem que: • Informar o indivíduo sobre o processo de decisão automatizado • Dar ao indivíduo o direito de ter a decisão automatizada revista por uma pessoa • Dar ao indivíduo a oportunidade de contestar a decisão 3 DIREITOS DOS INDIVÍDUOS
• Cifragem dos dados • Período de retenção • Anonimização • Limpeza dos logs e notificações 4 OUTROS DESAFIOS
• Período de retenção • Anonimização 4 OUTROS DESAFIOS
• Revisão de todos os contratos de prestação de serviços • Garantir inclusão de cláusulas de proteção de dados 4 OUTROS DESAFIOS
• Não é necessária a renovação de consentimento se o anterior tiver observado as exigências constantes no RGPD • Não é permitido oferecer contrapartidas para obter consentimento • Campanha de sensibilização 4 OUTROS DESAFIOS
• Como obter o consentimento? • Aplicam-se as mesmas regras que para qualquer outro tipo de consentimento • Não será suficiente apresentar mensagem de conhecimento e consentimento tácito • Necessário ação positiva, livre e explícita • E se o utilizador não aceitar? • Impedir a navegação no website? • Permitir a navegação com funcionalidade limitada? 4 OUTROS DESAFIOS
• Como garantir que é auditável? • Utilização de ferramenta de ticketing/service management • Selecionar ferramenta que implemente princípios de privacy by design e privacy by default • Definir fluxos automatizados para tratamento dos pedidos 4 OUTROS DESAFIOS
4 OUTROS DESAFIOS
• Processos resultantes de exercício dos direitos podem ter custos elevados para as organizações • O exercício dos direitos não pode ser dificultado e deverá ser gratuito • Como impedir o abuso dos direitos dos indivíduos? • Automatizar tudo o que possa ser automatizado nos processos • Primeiro pedido tem que ser gratuito • Pedidos subsequentes, sem justificação válida, podem exigir pagamento 4 OUTROS DESAFIOS
https://andrevala.com /in/andrevala @atomicvee andre.vala@gmail.com

Recomendados

Desvantagens das redes sociais
Desvantagens das redes sociaisDesvantagens das redes sociais
Desvantagens das redes sociaisPAFB
 
Proteçao dos dados pessoais
Proteçao dos dados pessoaisProteçao dos dados pessoais
Proteçao dos dados pessoaisMariana
 
Marco Civil da Internet no Brasil
Marco Civil da Internet no BrasilMarco Civil da Internet no Brasil
Marco Civil da Internet no BrasilLuiz Agner
 
Filosofia 10º Ano - O Problema do Livre-Arbítrio
Filosofia 10º Ano - O Problema do Livre-Arbítrio Filosofia 10º Ano - O Problema do Livre-Arbítrio
Filosofia 10º Ano - O Problema do Livre-Arbítrio InesTeixeiraDuarte
 
Falácias
FaláciasFalácias
FaláciasHelena Serrão
 
LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão DocumentalDaniel Gorita
 
Desinformação e noticias falsas
Desinformação e noticias falsasDesinformação e noticias falsas
Desinformação e noticias falsasCarlos Pinheiro
 
Teorias do conhecimento
Teorias do conhecimentoTeorias do conhecimento
Teorias do conhecimentoFelipe Saraiva Nunes de Pinho
 

Recomendados

Desvantagens das redes sociais
Desvantagens das redes sociaisDesvantagens das redes sociais
Desvantagens das redes sociaisPAFB
 
Proteçao dos dados pessoais
Proteçao dos dados pessoaisProteçao dos dados pessoais
Proteçao dos dados pessoaisMariana
 
Marco Civil da Internet no Brasil
Marco Civil da Internet no BrasilMarco Civil da Internet no Brasil
Marco Civil da Internet no BrasilLuiz Agner
 
Filosofia 10º Ano - O Problema do Livre-Arbítrio
Filosofia 10º Ano - O Problema do Livre-Arbítrio Filosofia 10º Ano - O Problema do Livre-Arbítrio
Filosofia 10º Ano - O Problema do Livre-Arbítrio InesTeixeiraDuarte
 
Falácias
FaláciasFalácias
FaláciasHelena Serrão
 
LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão DocumentalDaniel Gorita
 
Desinformação e noticias falsas
Desinformação e noticias falsasDesinformação e noticias falsas
Desinformação e noticias falsasCarlos Pinheiro
 
Teorias do conhecimento
Teorias do conhecimentoTeorias do conhecimento
Teorias do conhecimentoFelipe Saraiva Nunes de Pinho
 
A ação humana (issuu)1
A ação humana (issuu)1A ação humana (issuu)1
A ação humana (issuu)1Leonidia Afm
 
Lei Geral de Proteção de Dados - LGPD
Lei Geral de Proteção de Dados - LGPDLei Geral de Proteção de Dados - LGPD
Lei Geral de Proteção de Dados - LGPDStefan Horochovec
 
Mitologia Romana
Mitologia RomanaMitologia Romana
Mitologia RomanaHelder Pina
 
Apresentação palestra games na sala e aula
Apresentação palestra games na sala e aulaApresentação palestra games na sala e aula
Apresentação palestra games na sala e aulaCristiano N. Tonéis
 
Dogmatismo
DogmatismoDogmatismo
DogmatismoAldenei Barros
 
Aula internet marketing e mídias digitais
Aula internet marketing e mídias digitaisAula internet marketing e mídias digitais
Aula internet marketing e mídias digitaisCarolina Terra
 
O arquivo
O arquivoO arquivo
O arquivoJorge Roberto
 
Redes sociais
Redes sociais Redes sociais
Redes sociais Dália Pereira
 
Segurança na internet
Segurança na internetSegurança na internet
Segurança na internetJotaefe93
 
Tecnologia na Educação e Novas Tendência
Tecnologia na Educação e Novas TendênciaTecnologia na Educação e Novas Tendência
Tecnologia na Educação e Novas TendênciaDaniel Caixeta
 
Segurança na internet
Segurança na internetSegurança na internet
Segurança na internetLuísa Lima
 
Diversidade Cultural
Diversidade CulturalDiversidade Cultural
Diversidade CulturalPaula Melo
 
Aula 2 marco civil da internet - parte 1
Aula 2 marco civil da internet - parte 1Aula 2 marco civil da internet - parte 1
Aula 2 marco civil da internet - parte 1Márcia Rodrigues
 
eqt11_estatuto_conhecimento_cientifico.pptx
eqt11_estatuto_conhecimento_cientifico.pptxeqt11_estatuto_conhecimento_cientifico.pptx
eqt11_estatuto_conhecimento_cientifico.pptxMnicaMatos22
 
John rawls
John rawlsJohn rawls
John rawlsHelena Serrão
 
STC6
STC6STC6
STC6Augusto Mota
 
Computação em nuvem (cloud computing), uma introdução.
Computação em nuvem (cloud computing), uma introdução.Computação em nuvem (cloud computing), uma introdução.
Computação em nuvem (cloud computing), uma introdução.Rodrigo Miranda
 
Conceitos em Filosofia
Conceitos em FilosofiaConceitos em Filosofia
Conceitos em FilosofiaJorge Barbosa
 
Logica a arte de pensar caderno do estudante
Logica a arte de pensar caderno do estudanteLogica a arte de pensar caderno do estudante
Logica a arte de pensar caderno do estudantecon_seguir
 
Educação Sexual
Educação SexualEducação Sexual
Educação SexualJorge Barbosa
 
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisRosalia Ometto
 
O estado do RGPD no WordPress
O estado do RGPD no WordPressO estado do RGPD no WordPress
O estado do RGPD no WordPressPedro Fonseca
 

Mais conteúdo relacionado

Mais procurados

A ação humana (issuu)1
A ação humana (issuu)1A ação humana (issuu)1
A ação humana (issuu)1Leonidia Afm
 
Lei Geral de Proteção de Dados - LGPD
Lei Geral de Proteção de Dados - LGPDLei Geral de Proteção de Dados - LGPD
Lei Geral de Proteção de Dados - LGPDStefan Horochovec
 
Mitologia Romana
Mitologia RomanaMitologia Romana
Mitologia RomanaHelder Pina
 
Apresentação palestra games na sala e aula
Apresentação palestra games na sala e aulaApresentação palestra games na sala e aula
Apresentação palestra games na sala e aulaCristiano N. Tonéis
 
Aula internet marketing e mídias digitais
Aula internet marketing e mídias digitaisAula internet marketing e mídias digitais
Aula internet marketing e mídias digitaisCarolina Terra
 
Segurança na internet
Segurança na internetSegurança na internet
Segurança na internetJotaefe93
 
Tecnologia na Educação e Novas Tendência
Tecnologia na Educação e Novas TendênciaTecnologia na Educação e Novas Tendência
Tecnologia na Educação e Novas TendênciaDaniel Caixeta
 
Segurança na internet
Segurança na internetSegurança na internet
Segurança na internetLuísa Lima
 
Diversidade Cultural
Diversidade CulturalDiversidade Cultural
Diversidade CulturalPaula Melo
 
Aula 2 marco civil da internet - parte 1
Aula 2 marco civil da internet - parte 1Aula 2 marco civil da internet - parte 1
Aula 2 marco civil da internet - parte 1Márcia Rodrigues
 
eqt11_estatuto_conhecimento_cientifico.pptx
eqt11_estatuto_conhecimento_cientifico.pptxeqt11_estatuto_conhecimento_cientifico.pptx
eqt11_estatuto_conhecimento_cientifico.pptxMnicaMatos22
 
Computação em nuvem (cloud computing), uma introdução.
Computação em nuvem (cloud computing), uma introdução.Computação em nuvem (cloud computing), uma introdução.
Computação em nuvem (cloud computing), uma introdução.Rodrigo Miranda
 
Conceitos em Filosofia
Conceitos em FilosofiaConceitos em Filosofia
Conceitos em FilosofiaJorge Barbosa
 
Logica a arte de pensar caderno do estudante
Logica a arte de pensar caderno do estudanteLogica a arte de pensar caderno do estudante
Logica a arte de pensar caderno do estudantecon_seguir
 

Mais procurados (20)

A ação humana (issuu)1
A ação humana (issuu)1A ação humana (issuu)1
A ação humana (issuu)1
 
Lei Geral de Proteção de Dados - LGPD
Lei Geral de Proteção de Dados - LGPDLei Geral de Proteção de Dados - LGPD
Lei Geral de Proteção de Dados - LGPD
 
Mitologia Romana
Mitologia RomanaMitologia Romana
Mitologia Romana
 
Apresentação palestra games na sala e aula
Apresentação palestra games na sala e aulaApresentação palestra games na sala e aula
Apresentação palestra games na sala e aula
 
Dogmatismo
DogmatismoDogmatismo
Dogmatismo
 
Aula internet marketing e mídias digitais
Aula internet marketing e mídias digitaisAula internet marketing e mídias digitais
Aula internet marketing e mídias digitais
 
O arquivo
O arquivoO arquivo
O arquivo
 
Redes sociais
Redes sociais Redes sociais
Redes sociais
 
Segurança na internet
Segurança na internetSegurança na internet
Segurança na internet
 
Tecnologia na Educação e Novas Tendência
Tecnologia na Educação e Novas TendênciaTecnologia na Educação e Novas Tendência
Tecnologia na Educação e Novas Tendência
 
Segurança na internet
Segurança na internetSegurança na internet
Segurança na internet
 
Diversidade Cultural
Diversidade CulturalDiversidade Cultural
Diversidade Cultural
 
Aula 2 marco civil da internet - parte 1
Aula 2 marco civil da internet - parte 1Aula 2 marco civil da internet - parte 1
Aula 2 marco civil da internet - parte 1
 
eqt11_estatuto_conhecimento_cientifico.pptx
eqt11_estatuto_conhecimento_cientifico.pptxeqt11_estatuto_conhecimento_cientifico.pptx
eqt11_estatuto_conhecimento_cientifico.pptx
 
John rawls
John rawlsJohn rawls
John rawls
 
STC6
STC6STC6
STC6
 
Computação em nuvem (cloud computing), uma introdução.
Computação em nuvem (cloud computing), uma introdução.Computação em nuvem (cloud computing), uma introdução.
Computação em nuvem (cloud computing), uma introdução.
 
Conceitos em Filosofia
Conceitos em FilosofiaConceitos em Filosofia
Conceitos em Filosofia
 
Logica a arte de pensar caderno do estudante
Logica a arte de pensar caderno do estudanteLogica a arte de pensar caderno do estudante
Logica a arte de pensar caderno do estudante
 
Educação Sexual
Educação SexualEducação Sexual
Educação Sexual
 

Semelhante a RGPD - Testemunho do Mundo Real

Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisRosalia Ometto
 
O estado do RGPD no WordPress
O estado do RGPD no WordPressO estado do RGPD no WordPress
O estado do RGPD no WordPressPedro Fonseca
 
RGPD - CMPorto - Comércio local
RGPD - CMPorto - Comércio localRGPD - CMPorto - Comércio local
RGPD - CMPorto - Comércio localPedro Fonseca
 
O que é o RGPD e como agir no teu site WordPress
O que é o RGPD e como agir no teu site WordPressO que é o RGPD e como agir no teu site WordPress
O que é o RGPD e como agir no teu site WordPressPedro Fonseca
 
Rfs2 t1 data_protection_pt
Rfs2 t1 data_protection_ptRfs2 t1 data_protection_pt
Rfs2 t1 data_protection_ptBeacarol
 
Dicas LGPD Ometto Advocacia Setembro 2020
Dicas LGPD Ometto Advocacia Setembro 2020Dicas LGPD Ometto Advocacia Setembro 2020
Dicas LGPD Ometto Advocacia Setembro 2020Rosalia Ometto
 
Manoel Augusto - Proteção de Dados
Manoel Augusto - Proteção de DadosManoel Augusto - Proteção de Dados
Manoel Augusto - Proteção de DadosBrasscom
 
Lei Geral de Proteção de Dados - Dicas básicas para compreender a LGPD
Lei Geral de Proteção de Dados - Dicas básicas para compreender a LGPDLei Geral de Proteção de Dados - Dicas básicas para compreender a LGPD
Lei Geral de Proteção de Dados - Dicas básicas para compreender a LGPDRosalia Ometto
 
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaRosalia Ometto
 
LGPD Implementando no seu Escritorio
LGPD Implementando no seu EscritorioLGPD Implementando no seu Escritorio
LGPD Implementando no seu EscritorioRosalia Ometto
 
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...Hugo Seabra
 
Orientacoes-Iniciais-LGPD.pptx
Orientacoes-Iniciais-LGPD.pptxOrientacoes-Iniciais-LGPD.pptx
Orientacoes-Iniciais-LGPD.pptxAndreCarluxo
 
LGPDY - Lei Geral de proteção de dados
LGPDY - Lei Geral de proteção de dadosLGPDY - Lei Geral de proteção de dados
LGPDY - Lei Geral de proteção de dadosFellipe Guimarães
 
EXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdfEXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdfssusera7d631
 

Semelhante a RGPD - Testemunho do Mundo Real (20)

Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
 
O estado do RGPD no WordPress
O estado do RGPD no WordPressO estado do RGPD no WordPress
O estado do RGPD no WordPress
 
RGPD - CMPorto - Comércio local
RGPD - CMPorto - Comércio localRGPD - CMPorto - Comércio local
RGPD - CMPorto - Comércio local
 
RGPD - BBA
RGPD - BBARGPD - BBA
RGPD - BBA
 
O que é o RGPD e como agir no teu site WordPress
O que é o RGPD e como agir no teu site WordPressO que é o RGPD e como agir no teu site WordPress
O que é o RGPD e como agir no teu site WordPress
 
Palestra lgpd tdc floripa
Palestra lgpd tdc floripaPalestra lgpd tdc floripa
Palestra lgpd tdc floripa
 
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
 
Rfs2 t1 data_protection_pt
Rfs2 t1 data_protection_ptRfs2 t1 data_protection_pt
Rfs2 t1 data_protection_pt
 
Dicas LGPD Ometto Advocacia Setembro 2020
Dicas LGPD Ometto Advocacia Setembro 2020Dicas LGPD Ometto Advocacia Setembro 2020
Dicas LGPD Ometto Advocacia Setembro 2020
 
Atividade LGPD.pptx
Atividade LGPD.pptxAtividade LGPD.pptx
Atividade LGPD.pptx
 
Manoel Augusto - Proteção de Dados
Manoel Augusto - Proteção de DadosManoel Augusto - Proteção de Dados
Manoel Augusto - Proteção de Dados
 
Lei Geral de Proteção de Dados - Dicas básicas para compreender a LGPD
Lei Geral de Proteção de Dados - Dicas básicas para compreender a LGPDLei Geral de Proteção de Dados - Dicas básicas para compreender a LGPD
Lei Geral de Proteção de Dados - Dicas básicas para compreender a LGPD
 
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
 
201711 abordagem rgpd
201711 abordagem rgpd201711 abordagem rgpd
201711 abordagem rgpd
 
LGPD Implementando no seu Escritorio
LGPD Implementando no seu EscritorioLGPD Implementando no seu Escritorio
LGPD Implementando no seu Escritorio
 
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
 
Orientacoes-Iniciais-LGPD.pptx
Orientacoes-Iniciais-LGPD.pptxOrientacoes-Iniciais-LGPD.pptx
Orientacoes-Iniciais-LGPD.pptx
 
LGPDY - Lei Geral de proteção de dados
LGPDY - Lei Geral de proteção de dadosLGPDY - Lei Geral de proteção de dados
LGPDY - Lei Geral de proteção de dados
 
LGPD e Segurança da Informação
LGPD e Segurança da InformaçãoLGPD e Segurança da Informação
LGPD e Segurança da Informação
 
EXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdfEXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdf
 

Mais de André Vala

Office Dev Day 2018 - Extending Microsoft Teams
Office Dev Day 2018 - Extending Microsoft TeamsOffice Dev Day 2018 - Extending Microsoft Teams
Office Dev Day 2018 - Extending Microsoft TeamsAndré Vala
 
From Event Receivers to SharePoint Webhooks (SPS Lisbon 2017)
From Event Receivers to SharePoint Webhooks (SPS Lisbon 2017)From Event Receivers to SharePoint Webhooks (SPS Lisbon 2017)
From Event Receivers to SharePoint Webhooks (SPS Lisbon 2017)André Vala
 
From Event Receivers to SharePoint Webhooks
From Event Receivers to SharePoint WebhooksFrom Event Receivers to SharePoint Webhooks
From Event Receivers to SharePoint WebhooksAndré Vala
 
Planning the Death Star with Microsoft Planner
Planning the Death Star with Microsoft PlannerPlanning the Death Star with Microsoft Planner
Planning the Death Star with Microsoft PlannerAndré Vala
 
From Event Receivers to SharePoint Webhooks
From Event Receivers to SharePoint WebhooksFrom Event Receivers to SharePoint Webhooks
From Event Receivers to SharePoint WebhooksAndré Vala
 
Microsoft Planner Deep Dive
Microsoft Planner Deep DiveMicrosoft Planner Deep Dive
Microsoft Planner Deep DiveAndré Vala
 
SharePoint - Presente e Futuro
SharePoint - Presente e FuturoSharePoint - Presente e Futuro
SharePoint - Presente e FuturoAndré Vala
 
Office 365 Groups Deep Dive
Office 365 Groups Deep DiveOffice 365 Groups Deep Dive
Office 365 Groups Deep DiveAndré Vala
 
Soluções com Office Graph
Soluções com Office GraphSoluções com Office Graph
Soluções com Office GraphAndré Vala
 
Host-Named Site Collections in SharePoint 2013
Host-Named Site Collections in SharePoint 2013Host-Named Site Collections in SharePoint 2013
Host-Named Site Collections in SharePoint 2013André Vala
 
User License Enforcement em SharePoint 2013
User License Enforcement em SharePoint 2013User License Enforcement em SharePoint 2013
User License Enforcement em SharePoint 2013André Vala
 
How To Use Host-Named Site Collections
How To Use Host-Named Site CollectionsHow To Use Host-Named Site Collections
How To Use Host-Named Site CollectionsAndré Vala
 
Novidades na pesquisa no SharePoint 2013
Novidades na pesquisa no SharePoint 2013Novidades na pesquisa no SharePoint 2013
Novidades na pesquisa no SharePoint 2013André Vala
 
Building Public Web Sites in SharePoint 2010
Building Public Web Sites in SharePoint 2010 Building Public Web Sites in SharePoint 2010
Building Public Web Sites in SharePoint 2010 André Vala
 
SharePoint + Azure = Better Together
SharePoint + Azure = Better TogetherSharePoint + Azure = Better Together
SharePoint + Azure = Better TogetherAndré Vala
 
Federated Authentication in SharePoint 2010
Federated Authentication in SharePoint 2010Federated Authentication in SharePoint 2010
Federated Authentication in SharePoint 2010André Vala
 
Using BCS to integrate Azure Services with SharePoint 2010
Using BCS to integrate Azure Services with SharePoint 2010Using BCS to integrate Azure Services with SharePoint 2010
Using BCS to integrate Azure Services with SharePoint 2010André Vala
 
LINQ to SharePoint
LINQ to SharePointLINQ to SharePoint
LINQ to SharePointAndré Vala
 
Solução de Negócio baseadas em Office 2010 e SharePoint 2010
Solução de Negócio baseadas em Office 2010 e SharePoint 2010Solução de Negócio baseadas em Office 2010 e SharePoint 2010
Solução de Negócio baseadas em Office 2010 e SharePoint 2010André Vala
 
SharePoint Deployment
SharePoint DeploymentSharePoint Deployment
SharePoint DeploymentAndré Vala
 

Mais de André Vala (20)

Office Dev Day 2018 - Extending Microsoft Teams
Office Dev Day 2018 - Extending Microsoft TeamsOffice Dev Day 2018 - Extending Microsoft Teams
Office Dev Day 2018 - Extending Microsoft Teams
 
From Event Receivers to SharePoint Webhooks (SPS Lisbon 2017)
From Event Receivers to SharePoint Webhooks (SPS Lisbon 2017)From Event Receivers to SharePoint Webhooks (SPS Lisbon 2017)
From Event Receivers to SharePoint Webhooks (SPS Lisbon 2017)
 
From Event Receivers to SharePoint Webhooks
From Event Receivers to SharePoint WebhooksFrom Event Receivers to SharePoint Webhooks
From Event Receivers to SharePoint Webhooks
 
Planning the Death Star with Microsoft Planner
Planning the Death Star with Microsoft PlannerPlanning the Death Star with Microsoft Planner
Planning the Death Star with Microsoft Planner
 
From Event Receivers to SharePoint Webhooks
From Event Receivers to SharePoint WebhooksFrom Event Receivers to SharePoint Webhooks
From Event Receivers to SharePoint Webhooks
 
Microsoft Planner Deep Dive
Microsoft Planner Deep DiveMicrosoft Planner Deep Dive
Microsoft Planner Deep Dive
 
SharePoint - Presente e Futuro
SharePoint - Presente e FuturoSharePoint - Presente e Futuro
SharePoint - Presente e Futuro
 
Office 365 Groups Deep Dive
Office 365 Groups Deep DiveOffice 365 Groups Deep Dive
Office 365 Groups Deep Dive
 
Soluções com Office Graph
Soluções com Office GraphSoluções com Office Graph
Soluções com Office Graph
 
Host-Named Site Collections in SharePoint 2013
Host-Named Site Collections in SharePoint 2013Host-Named Site Collections in SharePoint 2013
Host-Named Site Collections in SharePoint 2013
 
User License Enforcement em SharePoint 2013
User License Enforcement em SharePoint 2013User License Enforcement em SharePoint 2013
User License Enforcement em SharePoint 2013
 
How To Use Host-Named Site Collections
How To Use Host-Named Site CollectionsHow To Use Host-Named Site Collections
How To Use Host-Named Site Collections
 
Novidades na pesquisa no SharePoint 2013
Novidades na pesquisa no SharePoint 2013Novidades na pesquisa no SharePoint 2013
Novidades na pesquisa no SharePoint 2013
 
Building Public Web Sites in SharePoint 2010
Building Public Web Sites in SharePoint 2010 Building Public Web Sites in SharePoint 2010
Building Public Web Sites in SharePoint 2010
 
SharePoint + Azure = Better Together
SharePoint + Azure = Better TogetherSharePoint + Azure = Better Together
SharePoint + Azure = Better Together
 
Federated Authentication in SharePoint 2010
Federated Authentication in SharePoint 2010Federated Authentication in SharePoint 2010
Federated Authentication in SharePoint 2010
 
Using BCS to integrate Azure Services with SharePoint 2010
Using BCS to integrate Azure Services with SharePoint 2010Using BCS to integrate Azure Services with SharePoint 2010
Using BCS to integrate Azure Services with SharePoint 2010
 
LINQ to SharePoint
LINQ to SharePointLINQ to SharePoint
LINQ to SharePoint
 
Solução de Negócio baseadas em Office 2010 e SharePoint 2010
Solução de Negócio baseadas em Office 2010 e SharePoint 2010Solução de Negócio baseadas em Office 2010 e SharePoint 2010
Solução de Negócio baseadas em Office 2010 e SharePoint 2010
 
SharePoint Deployment
SharePoint DeploymentSharePoint Deployment
SharePoint Deployment
 

RGPD - Testemunho do Mundo Real

  • 1.
  • 2. IT Deputy Director | Business Technology Office Servers and Services MVP https://andrevala.com /in/andrevala @atomicvee andre.vala@gmail.com
  • 3. Esta sessão pretende transmitir a minha experiência com o processo de conformidade com o RGPD até ao momento. Não é uma explicação exaustiva sobre o Regulamento nem apresenta uma fórmula para garantir essa conformidade. As opiniões proferidas são pessoais e não representam a visão de nenhuma organização em particular.
  • 4. 1 2 3 4
  • 5.
  • 6. • Regulamento Geral de Proteção de Dados • Entra em vigor a 25 de Maio de 2018 • Pretende devolver aos cidadãos europeus o controlo efetivo dos seus dados pessoais. Qualquer informação relacionada com uma pessoa identificada ou identificável. Inclui identificadores online como endereços IP e cookies. 1 O QUE É O RGPD?
  • 7. • Processamento justo, legal e transparente • Recolhido com um objetivos específicos, explícitos e legítimos • Adequados, relevantes e limitados ao necessário para o objetivo do seu processamento • Precisos e atualizados • Mantidos num formato que permita a identificação dos sujeitos apenas pelo tempo necessário ao objetivo do seu processamento • Processado com medidas técnicas e organizacionais que garantam a segurança apropriada e protecção contra utilização indevida, perda acidental, destruição ou dano. 1 O QUE É O RGPD?
  • 8. • Todas as entidades públicas e privadas, incluindo entidades subcontratadas, que procedam ao tratamento de dados pessoais de cidadãos europeus, independentemente da sua localização. • Apenas dados pessoais de pessoas singulares. Não se aplica a empresas. 1 O QUE É O RGPD?
  • 9. Controlo feito pela Comissão Nacional de Proteção de Dados (CNPD) https://www.cnpd.pt Entidades públicas isentas de coimas por 3 anos (artigo 59º da proposta de Lei) com reavaliação no final desse período. 1 O QUE É O RGPD? Proposta de Lei nº 120/XIII aprovada a 22 de Março de 2018 http://app.parlamento.pt/webutils/docs/doc.pdf?path=6148523063446f764c3246795a5868774d546f334e7 a67774c336470626d6c7561574e7059585270646d467a4c31684a53556b76644756346447397a4c33427762 4445794d43315953556c4a4c6d527659773d3d&fich=ppl120-XIII.doc&Inline=true
  • 10. 1 O QUE É O RGPD? Entidade Mínimo Máximo Grandes Empresas 5.000 € 20.000.000 € ou 4% volume de negócios anual (a nível mundial) PMEs 2.000 € 2.000.000 € ou 4% volume de negócios anual (a nível mundial) Pessoas singulares 1.000 € 500.000 € Entidade Mínimo Máximo Grandes Empresas 2.500 € 10.000.000 € ou 2% volume de negócios anual (a nível mundial) PMEs 1.000 € 1.000.000 € ou 2% volume de negócios anual (a nível mundial) Pessoas singulares 500 € 250.000 € CONTRAORDENAÇÃO MUITO GRAVE CONTRAORDENAÇÃO GRAVE
  • 11. • Consentimento do indivíduo • Obrigação contratual entre a organização e o indivíduo • Satisfação de uma obrigação legal • Proteção dos interesses vitais do indivíduo • Execução de tarefa de interesse público • Para o interesse legítimo da organização
  • 12. • Tem que ser dado de forma livre, específica, informada e explícita • Através de formulários próprio ou ação positiva • Necessário conseguir demonstrar que o consentimento foi dado cumprido estes requisitos • O titular dos dados pode revogar o consentimento • Para menores de 13 anos, é necessário o consentimento dos pais 1 O QUE É O RGPD?
  • 13.
  • 14. • Fornecer informação transparente • Nomear um Data Protection Officer (DPO) • Realizar Data Protection Impact Assessments (DPIA) • Data Protection by Design and Default • Notificar em caso de Violação/Perda 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
  • 15. • Pelo menos, fornecer informação sobre: • Identificação da organização • Razão para tratamento de dados • Base legal para tratamento de dados • Quem terá acesso aos dados (se aplicável) • Em alguns casos, indicar também: • Contacto do DPO • Interesse legítimo (quando é a base para o tratamento de dados) • Período de retenção dos dados • Direitos de proteção de dados do indivíduo • Como revogar o consentimento (quando o consentimento é a base para o tratamento de dados) • Se existe obrigação legal ou contratual de fornecer os dados • Em caso de decisão automática, informação sobre a lógica, significado e consequências da decisão 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
  • 16. 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
  • 17. • Nomeado pela organização • Obrigatório na Administração Pública e entidades privadas que tratem informação sensível ou em grande escala • Colaborador ou prestador de serviços com conhecimentos em matéria de privacidade e proteção de dados • Responsável por • Monitorização e cumprimento integral das obrigações previstas no RGPD • Pessoa de contacto para qualquer assunto com a autoridade supervisora 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
  • 18. 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
  • 19. • Nomeado por cada área de atuação da organização • Colaborador com conhecimento sólido da organização, dos processos de tratamento de dados e dos fornecedores com relações contratuais • Responsável por • Ponto de contacto com o DPO para esclarecimentos, sinergias e reporte de incidentes de segurança • Encaminhamento de pedidos dos titulares para o DPO • Garantir a execução dos DPIAs sempre que necessário • Registo de fornecedores que tratem dados pessoais de clientes e/ou colaboradores 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
  • 20. • Análise que permite identificar, avalia e mitigar or minimizar riscos de privacidade em atividades de processamento de dados • Relevante quando são introduzidos novos processos, sistemas ou tecnologias de processamento de dados • Obrigatório quando existe: • Uma avaliação sistemática e aprofundada de aspetos pessoais de um indivíduo; • Processamento de dados sensíveis em larga escala; • Monitoria sistemática de áreas públicas, em larga escala.
  • 21.
  • 22. • By Design • Proteção de dados é tida em conta no desenho inicial da solução • Minimiza riscos de privacidade e aumenta a confiança • By Default • A opção que garanta maior privacidade, é a opção selecionada por omissão 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
  • 23. 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
  • 24. • Violação ou perda acontece quando dados pessoais pelos quais a organização é responsável são libertados, seja acidentalmente ou propositadamente, para recipientes não autorizados. • Autoridade tem que ser notificada em 72 horas • Pode ser necessário informar todos os indivíduos afetados 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
  • 25. 2 OBRIGAÇÕES DAS ORGANIZAÇÕES
  • 26.
  • 27. • Direito ao acesso • Direito à portabilidade • Direito ao apagamento • Direito à rectificação • Direito à oposição • Direito a contestar decisões automatizadas 3 DIREITOS DOS INDIVÍDUOS
  • 28. • Indivíduos têm direito ao acesso aos seus dados pessoais • Acesso deve ser gratuito • Dados devem ser fornecidos num formato acessível • Todos os dados do indivíduo que são processados 3 DIREITOS DOS INDIVÍDUOS
  • 29. 3 DIREITOS DOS INDIVÍDUOS
  • 30. • Previsto no artigo 20º do RGPD • Quando o tratamento de dados é baseado em consentimento ou contrato • Dados destinados a serem transmitidos a outra organização • Abrange apenas dados fornecidos pelos titulares • Dados devem ser fornecidos em formato comum legível por computadores (XML, JSON, CSV, etc...) 3 DIREITOS DOS INDIVÍDUOS
  • 31. 3 DIREITOS DOS INDIVÍDUOS
  • 32. • Direito ao esquecimento • O indivíduo pode pedir para que sejam eliminados todos os seus dados pessoais • Excepções • Processamento é necessário para respeitar a liberdade de expressão e informação • Obrigações legais • Existência de razões de interesse público (saúde pública, investigação científica ou histórica, etc) • Processos legais em curso 3 DIREITOS DOS INDIVÍDUOS
  • 33. 3 DIREITOS DOS INDIVÍDUOS
  • 34. Se os seus dados pessoais estiverem incorretos, incompletos ou imprecisos, o indivíduo pode requerer a sua correção imediata 3 DIREITOS DOS INDIVÍDUOS
  • 35. 3 DIREITOS DOS INDIVÍDUOS
  • 36. • Se o tratamento for baseado em interesse legítimo ou interesse público, o indivíduo pode objetar a esse tratamento • O processamento do dados do indivíduo deverá cessar imediatamente, exceto se o interesse legítimo se sobrepuser ao interesse individual. 3 DIREITOS DOS INDIVÍDUOS
  • 37. 3 DIREITOS DOS INDIVÍDUOS
  • 38. • Indivíduos têm o direito de não se sujeitar a uma decisão baseada exclusivamente em processamento automático • A organização tem que: • Informar o indivíduo sobre o processo de decisão automatizado • Dar ao indivíduo o direito de ter a decisão automatizada revista por uma pessoa • Dar ao indivíduo a oportunidade de contestar a decisão 3 DIREITOS DOS INDIVÍDUOS
  • 39.
  • 40. • Cifragem dos dados • Período de retenção • Anonimização • Limpeza dos logs e notificações 4 OUTROS DESAFIOS
  • 41. • Período de retenção • Anonimização 4 OUTROS DESAFIOS
  • 42. • Revisão de todos os contratos de prestação de serviços • Garantir inclusão de cláusulas de proteção de dados 4 OUTROS DESAFIOS
  • 43. • Não é necessária a renovação de consentimento se o anterior tiver observado as exigências constantes no RGPD • Não é permitido oferecer contrapartidas para obter consentimento • Campanha de sensibilização 4 OUTROS DESAFIOS
  • 44. • Como obter o consentimento? • Aplicam-se as mesmas regras que para qualquer outro tipo de consentimento • Não será suficiente apresentar mensagem de conhecimento e consentimento tácito • Necessário ação positiva, livre e explícita • E se o utilizador não aceitar? • Impedir a navegação no website? • Permitir a navegação com funcionalidade limitada? 4 OUTROS DESAFIOS
  • 45. • Como garantir que é auditável? • Utilização de ferramenta de ticketing/service management • Selecionar ferramenta que implemente princípios de privacy by design e privacy by default • Definir fluxos automatizados para tratamento dos pedidos 4 OUTROS DESAFIOS
  • 47. • Processos resultantes de exercício dos direitos podem ter custos elevados para as organizações • O exercício dos direitos não pode ser dificultado e deverá ser gratuito • Como impedir o abuso dos direitos dos indivíduos? • Automatizar tudo o que possa ser automatizado nos processos • Primeiro pedido tem que ser gratuito • Pedidos subsequentes, sem justificação válida, podem exigir pagamento 4 OUTROS DESAFIOS