SlideShare uma empresa Scribd logo
1 de 25
Baixar para ler offline
NOTA PRÉVIA
Numa sociedade ultra concorrencial, em constante transformação, onde a metainformação se transformou
num ativo imensurável, existem, neste contexto, fraquezas e potencialidades, que importa acautelar.
Nesta apresentação, focalizamos, o que nos parece mais pertinente, para a implementação do Regulamento
Geral de Proteção de Dados em contextos de prestação de Cuidados de Saúde.
Desde logo, admitimos, que é um palco complicado! Deste modo, percebemos, que a sua implementação nos
merece superior sabedoria e não menos cautelas. Todavia, na certeza, que serão as organizações públicas a
corporizar e cimentar este processo.
Realisticamente, a sua implementação é uma obrigatoriedade. Ao contrário do que já lemos, mitigar a sua
implementação, trás mais custos que benefícios.
Arrastar este processo para alem do razoável, não nos parece fazer sentido!
Na abordagem que aqui realizamos, não sobrepomos nenhum dos ângulos de eventual abordagem: normativo,
informático, profissional, de entre outros, dado que todos eles têm a sua importância relativa, e, é nossa
obrigação, aborda-los pela mesma latitude.
Importa então que o RGPD, corporize um ativo, de cada uma das organizações de saúde, que garantem a
privacidade e a confidencialidade da informação que produzem, tornando a segurança dos dados, numa
vantagem competitiva.
Baltazar Fernandes
bcfernandes@sapo.pt
Segurança global dos dados
Segurança local dos dados
Daí que importa abordar o RGPD a nível local e a nível global
A Information Commissioner’s
Office anunciou esta quarta-feira a
decisão final de multar a empresa
Facebook no valor mais alto
segundo as regras anteriores
sobre proteção de dados. Em
causa está o escândalo que
envolveu a empresa de análise de
dados Cambridge Analytica.
RTP25 Out, 2018, 13:44 | Mundo
Este representa o valor [560 mil euros] mais alto possível segundo as regras sobre proteção de dados prévias à
alteração de maio. A quantia deve ser paga até 24 de novembro de 2018.
4%
560.000€
?
Estarão os nossos dados seguros?!
http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-
euros-por-permitir-acessos-indevidos-a-processos-clinicos
• Regulamento Geral de Proteção de Dados
• Uma aproximação ao setor de saúde
As organizações públicas, serão o
marco norteador deste novo
enquadramento normativo.
Análise &Reflexão
Da reflexão à ação, ou seja, o período de reflexão
terminou, teoricamente, na data de entrada em
vigor do RGPD, importa então agir!
O RGPD é igual a governação organizacional, que
implica comunicação e sensibilização, em vista a
prevenção da confiabilidade, privacidade,
Integridade e consequentemente da segurança
dos dados, isto é, a mudança de paradigma.
Primeira Mensagem
• Nunca reduzir o RGPD, ao contexto informático,
ou jurídico!
• Pois neste caso, são duas dimensões que se
entrelaçam!
Segunda Mensagem
• Assim sendo duas dimensões que se entrelaçam,
não podemos confundir segurança informática
com proteção de dados!
Umaevidência
nestecontexto:
A partir do momento que nos
conectamos, começa a nossa interação
em rede;
…só podemos controlar os riscos de
tratamentos e segurança dos dados que
conhecemos…
Atenção particular às iniciativas
individuais (BD locais, aplicações,
internet & nuvem.
Sistemas informáticos/Sistemas
de informação
Sistemas de
informação::
Atores > Processos >
Informação
Os operadores,
Que interagem
reciprocamente
com:
Os sistemas
informáticos:
Material >
Aplicativos > Softwares
• Empresas/Cidadãos/Colaboradores
CIDADANIA
• O processo de implementação do RGPD é uma evolução [entenda-
se mudança de paradigma] e não uma revolução, por isso deve ter
em conta:
• A gestão da segurança dos dados: privacidade, fidelidade e
integridade dos dados dos cidadãos, das empresas e dos seus
colaboradores.
• Assim, deve fundir-se na participação e não reação, de todos os
colaboradores, para sua segurança, e de todos os que fazem parte
do nosso envolvimento organizacional e global.
Confidencialidade é a propriedade da
informação garantindo que não estará
disponível ou será divulgada a indivíduos,
entidades ou processos sem autorização.
Noutras palavras, confidencialidade é a
garantia da salvaguarda das informações
dadas pessoalmente, confiando-nos na sua
proteção.
Privacidade é o direito à
reserva de informações
pessoais e da própria vida
pessoal: the right to be let
alone, segundo o jurista norte-
americano Louis Brandeis, que
provavelmente, foi o primeiro
a formular o conceito de
direito à privacidade,
juntamente com Samuel
Warren
Integridade: é à capacidade de
garantir a corporização da
informação, salvaguardando a
desintegração ou separação das
suas partes, ou seja, prevenir,
que seja danificada, ou
corrompida!
No que respeita à privacidade da informação, a proposta de Regulamento
das comunicações eletrónicas (ePrivacy) -Prevê a revogação do
Regulamento da (CE) n.º 45 – 2001. do Parlamento Europeu e do
Conselho, de 18 de dezembro de 2000 que ainda está em vigor,
procurando alinhar as normas para as comunicações eletrónicas, com o
RGPD, alargando as regras a novos prestadores de serviços de plataformas
digitais como: facebook, watsapp, Messenger, Skype etc.
Enquadrar os requisitos e a restrição do direito ao
esquecimento;(1)
Abordagem digital e manual, como harmonizar
estas duas realidades, em contextos de prestação
de cuidados de saúde e em sede RGPD.
A Segurança, enquanto ativo, da
informação, será, garantidamente,
uma das vantagens competitivas
das Organizações
(1) Este direito é afastado na exata medida em que o tratamento se revele necessário por
motivos de saúde ou interesse público .
Gestão da Segurança dos Dados
Tipos de
segurança
• Física
• Armazenamento
• Acesso [Gestão]
• Rede interna
• Internet
Garantia
de:
• Qualidade
• Classificação dos dados
• Qualidade da informação
• Propósito e limitação
• Dos direitos do cidadão
• Do consentimento
Finalidade: > Os dados produzidos e disponibilizados são para um fim específico, previamente autorizado?
Proporcionalidade e pertinência: > a informação, que produzimos, é adequada ao fim preciso!
Durabilidade da conservação: > A informação individual, tem limite temporal, não tem durabilidade indefinida!
A gestão e privacidade implica pela parte da informação produzida:
Cidadania e Responsabilidade!
• Etapas,para Cumprir o GDPR [https://gdpr-
governance.pt/free_guide.html];
• GDPR [https://eugdpr.org/]
Clarificando o conceito!
GDPR; RGPD; REPD?!......
Embora, não abunde na bibliografia, ainda se encontram, à data, três tipos
de conceitos:
GDPR > General Data Protection Regulation;
REPD > Regulamento Europeu de Proteção de Dados,
[https://www.sgeconomia.gov.pt/destaques/rgpd-faculdade-de-direito-da-universidade-de-lisboa-24-de-
outubro-span-classnovo-novospan.aspx]
RGPD > Regulamento Geral de Proteção de Dados.
Obviamente, que o RGPD, trouxe muitas oportunidades de negócio, que cada
um divulga e explora da melhor maneira que entende e sabe.
Assim, desde a formação, até a implementação do RGPD, tudo eram, e ainda
são, oportunidades que alguns não descoram.
A metodologia de introdução também varia, como aqui pretendemos deixar
evidente.
O Compromisso
Um dos objetivos do Regulamento Geral de Proteção de
Dados é fortalecer os direitos dos indivíduos e capacitar os
atores. E quanto ao processamento de dados pessoais de
saúde nesta nova configuração?
• A partir de 25 de maio de 2018, com a entrada em
vigor do Regulamento Geral sobre a Proteção de
Dados, passará a existir um conjunto único, de
regras de proteção de dados, para todas as
empresas ativas na UE, independentemente da sua
localização.
• Regras de proteção de dados mais rigorosas
significam:
✓ um maior controlo dos cidadãos sobre os seus dados
pessoais
✓ condições mais equitativas para as empresas
• [https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-
reform-eu-data-protection-rules_pt]
Privacy Impact Assessment – “PIA”.
Antes do início de qualquer operação de
tratamento de dados, e sempre que a
mesma seja considerada de risco, as
organizações do SNS devem realizar
uma análise do impacto destas sobre a
privacidade, confidencialidade e
integridade dos dados processados. Maior responsabilização na seleção das
entidades externas.
O RGPD cria uma maior responsabilização na
seleção dos prestadores de serviços, sendo
impostas obrigações claras e
precisas neste sentido.
Visão estratégica da segurança da informação
Informação sobre o sistema de segurança;
O todo & a parte (contendo/conteúdo);
O Hospital gere e processa dados de:
• Caráter pessoal/profissional e de terceiros prestadores;
• Dados dos utentes, na dimensão nominal;
• Dados de saúde num limite estático, ou contínuo, num dado
horizonte temporal, intra e interorganizacional;
• Os dados de contactos gerais: dos profissionais, dos utentes,
dos parceiros e subcontrantes;
• Dados estes que circulam e, são acedidos em múltiplas
plataformas, por profissionais diversos, a diferentes níveis, e
em vários contextos geográficos .
A análise
A complexidade do sistemas de informação em saúde
Gestão da doença e
intervenções dos
Profissionais
Soluções informáticas
Médicas e outras [Sclínico,
SAM. SAPE, etc.]
Gestão de
Pessoal
RH/Biométricas
Ficheiros de outro
programas :
*.log; *.tmp e
outputs de todos
os outros
aplicativos
Partilha
Correio, contatos,
Nuvem, ….
A importância mapeamento dos processos, da categorização dos dados;
Utilitários de proteção e segurança dos metadados;
Estabelecer níveis de segurança e qualidade adequados, por defeito, adotar a norma ISO
27000
1
• Auditar diária e constantemente;
• Garantir a gestão e a governação dos dados, desde o nível
operacional,
• Adaptar um sistema de qualidade;
2
• Realizar auditorias diárias;
• Certificar os sistemas de privacidade da informação;
• Optarmos por visão de incidente nulo;
3
• Notificar dentro do prazo, a ocorrência de eventuais incidentes;
• Equilibrar a segurança e os potenciais riscos….
•Uma unidade de saúde estará em conformidade quando:
A produção de meta informação, torna-se num de risco potencial, onde a Organização deve garantir o
controle!
O RGTD, implica meios como:
Conhecimento do processamento
de dados:
O quê, quando e porquê?
abordagem do processo, por
profissão;
abordagem pelo potencial risco,
Fluxos de dados, soluções,
localizações e atores.
O RGPD implica Registo de
tratamentos:
Informação e sensibilização de
todos os atores [doentes,
colaboradores, parceiros]
Proteger os dados de maneira
adequada e ajustada;
Arquivo das evidências de uma boa
gestão e da utilização responsável
dos dados
Complexidade do sistema de informação
Informação dos níveis de segurança
Alto Médio Baixo Nulo
Soluções Informáticas:
Gerais, Específicas e Aplicações;
Ficheiros do sistema: txt. Xls,
Sav, log, tmp…
Correio, endereços, BYOD
Acesso à rede:
Terceiros usuários [subcontratos]
Colaboradores ligados à rede;
Periféricos médicos;
WIFI, PWD e afins
DADOS
Evolução da aproximação à segurança dos dados:
complementaridade das abordagens “segurança e gestão” Análise lógica do acontecimento
Identificação dos pontos
vulneráveis;
Mapeamento da intervenção:
Aplicação do protocolo
Remoção dos pontos vulneráveis!
Segurança da Informação
> “abordagem tecnológica”
Abordagem pela qualidade
Gestão Física e lógica
Cópias de segurança
RGDP
Firewall/DNS/Proxy; antimalware; Phishing
Da Implementação a conformidade do RGPD
Gestão dos dados implica:
Políticas, regras, categorização e
consentimento, …. certificação!
Cumprimento das normas internas
relativas à privacidade
O quê?
Dados Internos,
Estruturados, não estruturados.
Datacenter/local/móvel/nuvem.
Software, equipamento médico,
ficheiros, informação de suporte em
papel .
Dados conexos, e.g. “upgrades” não
auditados, projetos internos
paralelos, etc.
Gestão do ciclo de vida
dos dados:
identificação, classificação,
tratamento, difusão, encriptação,
armazenamento, arquivo e
destruição.
Aplicativo A….; Periférico B…. ….. …..
[ Privacidade] > Controle interno (da
organização, sobre terceiros
prestadores)
Partes interessadas: Gestão de topo,
responsável da proteção de dados,
auditor interno, sistemas de
informação, sistemas de compras,
comissão de ética, …
Gestão da
segurança:
Monitorização;
gestão dos
direitos; reporte
de incidente.
Sensibilização e
comunicação
Colaboradores
internos e externos,
parceiros e utentes.
Gestão operacional:
Declaração espontânea; certificação
interna.
Gestão dos registos e tratamento dos
incidentes.
A garantia da organização e segurança dos dados está, no equilíbrio, da governação e gestão operacional”
Governação: [Gestão de topo]
✓ define as regras;
✓ Dá os meios necessários;
✓ Valida as auditorias
Gestão operacional:
Equipa composta pelo Responsável de
proteção de dados, dos sistemas de
informação; responsável da segurança
interna e das diferentes categorias
profissionais, que promovem:
✓ O mapeamento dos processamentos e a categorização
dos dados;
✓ Elaboram recomendações e definem normas;
✓ Efetuam auditorias e asseguram a segurança global;
✓ Assumem a manutenção;
✓ Efetuam a monitorização e o registo de furtos e piratarias;
✓ Corrigem e analisam os incidentes;
✓ Asseguram, reporte dos incidentes às autoridades;
✓ Mantém atualizado os registos dos incidentes.
https://ec.europa.eu/justice/smedataprotect/index_en.htm
www.ha-sante.fr
https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=OJ:L:2018:127:FULL&from=PT#%FE%FF%00O%00J%00X%000%000%000%002%000%00
1%00P%00T
http://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN
https:// www.cnil.fr/fr/se - preparer - au - reglement – europeen
https://www.health.belgium.be/sites/default/files/uploads/fields/fpshealth_theme_file/gdpr_exple_implementati
on_cusl.pdf
Referências

Mais conteúdo relacionado

Mais procurados

LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão DocumentalDaniel Gorita
 
Sistemas da Informação - Etica
Sistemas da Informação - EticaSistemas da Informação - Etica
Sistemas da Informação - EticaUniversal.org.mx
 
Artesoftware Explicando LGPD
Artesoftware Explicando LGPDArtesoftware Explicando LGPD
Artesoftware Explicando LGPDDouglas Siviotti
 
Guia de Conformidade - LGPD
Guia de Conformidade - LGPDGuia de Conformidade - LGPD
Guia de Conformidade - LGPDEzequiel Brito
 
14 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 201614 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 2016Renato Paço
 
Novo Regulamento Geral de Proteção de Dados - guia para marketeers
Novo Regulamento Geral de Proteção de Dados - guia para marketeersNovo Regulamento Geral de Proteção de Dados - guia para marketeers
Novo Regulamento Geral de Proteção de Dados - guia para marketeersfredericocarvalho.pt
 
Lgpd 10 bases legais
Lgpd   10 bases legaisLgpd   10 bases legais
Lgpd 10 bases legaisMichelle Bis
 
Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...Embratel
 
LGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisLGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisEliézer Zarpelão
 
O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?
O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?
O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?Gabriela Bornhausen Branco
 
Infografia : o que vai mudar na RGPD (2018)
Infografia : o que vai mudar na RGPD (2018)Infografia : o que vai mudar na RGPD (2018)
Infografia : o que vai mudar na RGPD (2018)Kwanko
 
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva  e Ricardo Navarro (Pise4)Lei geral de proteção de dados por Kleber Silva  e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)Joao Galdino Mello de Souza
 
Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...eurosigdoc acm
 
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A ...
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA  IIA PORTUGAL - IPAI 25 ANOS A ...2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA  IIA PORTUGAL - IPAI 25 ANOS A ...
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A ...IPAI Instituto Auditoria Interna
 
Ad3Plus - Evento sobre Wall Gardens e LGPD
Ad3Plus - Evento sobre Wall Gardens e LGPDAd3Plus - Evento sobre Wall Gardens e LGPD
Ad3Plus - Evento sobre Wall Gardens e LGPDBruno Pompeu
 
Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Soraia Lima
 

Mais procurados (20)

LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão Documental
 
Sistemas da Informação - Etica
Sistemas da Informação - EticaSistemas da Informação - Etica
Sistemas da Informação - Etica
 
Artesoftware Explicando LGPD
Artesoftware Explicando LGPDArtesoftware Explicando LGPD
Artesoftware Explicando LGPD
 
201711 abordagem rgpd
201711 abordagem rgpd201711 abordagem rgpd
201711 abordagem rgpd
 
Guia de Conformidade - LGPD
Guia de Conformidade - LGPDGuia de Conformidade - LGPD
Guia de Conformidade - LGPD
 
14 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 201614 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 2016
 
Novo Regulamento Geral de Proteção de Dados - guia para marketeers
Novo Regulamento Geral de Proteção de Dados - guia para marketeersNovo Regulamento Geral de Proteção de Dados - guia para marketeers
Novo Regulamento Geral de Proteção de Dados - guia para marketeers
 
Lgpd 10 bases legais
Lgpd   10 bases legaisLgpd   10 bases legais
Lgpd 10 bases legais
 
Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...
 
RGPD
RGPDRGPD
RGPD
 
LGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisLGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados Pessoais
 
O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?
O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?
O que muda no nosso cotidiano com a nova Lei Geral de Proteção de Dados?
 
Infografia : o que vai mudar na RGPD (2018)
Infografia : o que vai mudar na RGPD (2018)Infografia : o que vai mudar na RGPD (2018)
Infografia : o que vai mudar na RGPD (2018)
 
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva  e Ricardo Navarro (Pise4)Lei geral de proteção de dados por Kleber Silva  e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
 
Síntese RGPD
Síntese RGPDSíntese RGPD
Síntese RGPD
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO
 
Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...
 
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A ...
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA  IIA PORTUGAL - IPAI 25 ANOS A ...2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA  IIA PORTUGAL - IPAI 25 ANOS A ...
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A ...
 
Ad3Plus - Evento sobre Wall Gardens e LGPD
Ad3Plus - Evento sobre Wall Gardens e LGPDAd3Plus - Evento sobre Wall Gardens e LGPD
Ad3Plus - Evento sobre Wall Gardens e LGPD
 
Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)
 

Semelhante a Regulamento Geral de Proteção de Dados - Uma Abordagem em Contextos de Prestação de Cuidados de Saúde

Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Ed Oliveira
 
A Segurança da Informação nas Organizações Públicas Brasileiras
A Segurança da Informação nas Organizações Públicas BrasileirasA Segurança da Informação nas Organizações Públicas Brasileiras
A Segurança da Informação nas Organizações Públicas BrasileirasJUAREZ DE OLIVEIRA
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
 
Workshop RGPD | CFIUTE - 24 maio 2018
Workshop RGPD | CFIUTE - 24 maio 2018Workshop RGPD | CFIUTE - 24 maio 2018
Workshop RGPD | CFIUTE - 24 maio 2018Pedro Tavares
 
GDPR - General Data Protection Regulation
GDPR - General Data Protection RegulationGDPR - General Data Protection Regulation
GDPR - General Data Protection RegulationBonoBee
 
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A ...
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA  IIA PORTUGAL - IPAI 25 ANOS A ...2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA  IIA PORTUGAL - IPAI 25 ANOS A ...
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A ...IPAI Instituto Auditoria Interna
 
LGPD e a Gestão de Recuesos Humanos.pptx
LGPD e a Gestão de Recuesos Humanos.pptxLGPD e a Gestão de Recuesos Humanos.pptx
LGPD e a Gestão de Recuesos Humanos.pptxJacsonSouza10
 
LGPD SPDATA CLINERP cms_files_211754_1599156595CARTILHA-CLIENTES.pdf
LGPD SPDATA CLINERP cms_files_211754_1599156595CARTILHA-CLIENTES.pdfLGPD SPDATA CLINERP cms_files_211754_1599156595CARTILHA-CLIENTES.pdf
LGPD SPDATA CLINERP cms_files_211754_1599156595CARTILHA-CLIENTES.pdfRafaelTICClinerp
 
FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...
FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...
FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...Renato Monteiro
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsiMasters
 
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptxAULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptxCidrone
 
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...Hugo Seabra
 
Introdução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneIntrodução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneEliézer Zarpelão
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 

Semelhante a Regulamento Geral de Proteção de Dados - Uma Abordagem em Contextos de Prestação de Cuidados de Saúde (20)

Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
 
A Segurança da Informação nas Organizações Públicas Brasileiras
A Segurança da Informação nas Organizações Públicas BrasileirasA Segurança da Informação nas Organizações Públicas Brasileiras
A Segurança da Informação nas Organizações Públicas Brasileiras
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
 
Workshop RGPD | CFIUTE - 24 maio 2018
Workshop RGPD | CFIUTE - 24 maio 2018Workshop RGPD | CFIUTE - 24 maio 2018
Workshop RGPD | CFIUTE - 24 maio 2018
 
LGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRASLGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRAS
 
GDPR - General Data Protection Regulation
GDPR - General Data Protection RegulationGDPR - General Data Protection Regulation
GDPR - General Data Protection Regulation
 
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A ...
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA  IIA PORTUGAL - IPAI 25 ANOS A ...2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA  IIA PORTUGAL - IPAI 25 ANOS A ...
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA IIA PORTUGAL - IPAI 25 ANOS A ...
 
LGPD e a Gestão de Recuesos Humanos.pptx
LGPD e a Gestão de Recuesos Humanos.pptxLGPD e a Gestão de Recuesos Humanos.pptx
LGPD e a Gestão de Recuesos Humanos.pptx
 
LGPD SPDATA CLINERP cms_files_211754_1599156595CARTILHA-CLIENTES.pdf
LGPD SPDATA CLINERP cms_files_211754_1599156595CARTILHA-CLIENTES.pdfLGPD SPDATA CLINERP cms_files_211754_1599156595CARTILHA-CLIENTES.pdf
LGPD SPDATA CLINERP cms_files_211754_1599156595CARTILHA-CLIENTES.pdf
 
FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...
FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...
FIESP - Iniciativa privada - regular o uso de dados pessoais é bom para voce...
 
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
 
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptxAULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
AULA DE SABADO SOBRE LGPD LEI DE SEGURAÇA E PROTEÇÃO DE DADOS.pptx
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
 
Lgpd abordagem
Lgpd abordagemLgpd abordagem
Lgpd abordagem
 
Introdução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneIntrodução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation One
 
Gestãorisco
GestãoriscoGestãorisco
Gestãorisco
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 

Regulamento Geral de Proteção de Dados - Uma Abordagem em Contextos de Prestação de Cuidados de Saúde

  • 1. NOTA PRÉVIA Numa sociedade ultra concorrencial, em constante transformação, onde a metainformação se transformou num ativo imensurável, existem, neste contexto, fraquezas e potencialidades, que importa acautelar. Nesta apresentação, focalizamos, o que nos parece mais pertinente, para a implementação do Regulamento Geral de Proteção de Dados em contextos de prestação de Cuidados de Saúde. Desde logo, admitimos, que é um palco complicado! Deste modo, percebemos, que a sua implementação nos merece superior sabedoria e não menos cautelas. Todavia, na certeza, que serão as organizações públicas a corporizar e cimentar este processo. Realisticamente, a sua implementação é uma obrigatoriedade. Ao contrário do que já lemos, mitigar a sua implementação, trás mais custos que benefícios. Arrastar este processo para alem do razoável, não nos parece fazer sentido! Na abordagem que aqui realizamos, não sobrepomos nenhum dos ângulos de eventual abordagem: normativo, informático, profissional, de entre outros, dado que todos eles têm a sua importância relativa, e, é nossa obrigação, aborda-los pela mesma latitude. Importa então que o RGPD, corporize um ativo, de cada uma das organizações de saúde, que garantem a privacidade e a confidencialidade da informação que produzem, tornando a segurança dos dados, numa vantagem competitiva. Baltazar Fernandes bcfernandes@sapo.pt
  • 2.
  • 3. Segurança global dos dados Segurança local dos dados Daí que importa abordar o RGPD a nível local e a nível global
  • 4. A Information Commissioner’s Office anunciou esta quarta-feira a decisão final de multar a empresa Facebook no valor mais alto segundo as regras anteriores sobre proteção de dados. Em causa está o escândalo que envolveu a empresa de análise de dados Cambridge Analytica. RTP25 Out, 2018, 13:44 | Mundo Este representa o valor [560 mil euros] mais alto possível segundo as regras sobre proteção de dados prévias à alteração de maio. A quantia deve ser paga até 24 de novembro de 2018. 4% 560.000€ ? Estarão os nossos dados seguros?! http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil- euros-por-permitir-acessos-indevidos-a-processos-clinicos
  • 5.
  • 6. • Regulamento Geral de Proteção de Dados • Uma aproximação ao setor de saúde As organizações públicas, serão o marco norteador deste novo enquadramento normativo.
  • 7. Análise &Reflexão Da reflexão à ação, ou seja, o período de reflexão terminou, teoricamente, na data de entrada em vigor do RGPD, importa então agir! O RGPD é igual a governação organizacional, que implica comunicação e sensibilização, em vista a prevenção da confiabilidade, privacidade, Integridade e consequentemente da segurança dos dados, isto é, a mudança de paradigma. Primeira Mensagem • Nunca reduzir o RGPD, ao contexto informático, ou jurídico! • Pois neste caso, são duas dimensões que se entrelaçam! Segunda Mensagem • Assim sendo duas dimensões que se entrelaçam, não podemos confundir segurança informática com proteção de dados!
  • 8. Umaevidência nestecontexto: A partir do momento que nos conectamos, começa a nossa interação em rede; …só podemos controlar os riscos de tratamentos e segurança dos dados que conhecemos… Atenção particular às iniciativas individuais (BD locais, aplicações, internet & nuvem.
  • 9. Sistemas informáticos/Sistemas de informação Sistemas de informação:: Atores > Processos > Informação Os operadores, Que interagem reciprocamente com: Os sistemas informáticos: Material > Aplicativos > Softwares
  • 10. • Empresas/Cidadãos/Colaboradores CIDADANIA • O processo de implementação do RGPD é uma evolução [entenda- se mudança de paradigma] e não uma revolução, por isso deve ter em conta: • A gestão da segurança dos dados: privacidade, fidelidade e integridade dos dados dos cidadãos, das empresas e dos seus colaboradores. • Assim, deve fundir-se na participação e não reação, de todos os colaboradores, para sua segurança, e de todos os que fazem parte do nosso envolvimento organizacional e global.
  • 11. Confidencialidade é a propriedade da informação garantindo que não estará disponível ou será divulgada a indivíduos, entidades ou processos sem autorização. Noutras palavras, confidencialidade é a garantia da salvaguarda das informações dadas pessoalmente, confiando-nos na sua proteção. Privacidade é o direito à reserva de informações pessoais e da própria vida pessoal: the right to be let alone, segundo o jurista norte- americano Louis Brandeis, que provavelmente, foi o primeiro a formular o conceito de direito à privacidade, juntamente com Samuel Warren Integridade: é à capacidade de garantir a corporização da informação, salvaguardando a desintegração ou separação das suas partes, ou seja, prevenir, que seja danificada, ou corrompida!
  • 12. No que respeita à privacidade da informação, a proposta de Regulamento das comunicações eletrónicas (ePrivacy) -Prevê a revogação do Regulamento da (CE) n.º 45 – 2001. do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000 que ainda está em vigor, procurando alinhar as normas para as comunicações eletrónicas, com o RGPD, alargando as regras a novos prestadores de serviços de plataformas digitais como: facebook, watsapp, Messenger, Skype etc. Enquadrar os requisitos e a restrição do direito ao esquecimento;(1) Abordagem digital e manual, como harmonizar estas duas realidades, em contextos de prestação de cuidados de saúde e em sede RGPD. A Segurança, enquanto ativo, da informação, será, garantidamente, uma das vantagens competitivas das Organizações (1) Este direito é afastado na exata medida em que o tratamento se revele necessário por motivos de saúde ou interesse público .
  • 13. Gestão da Segurança dos Dados Tipos de segurança • Física • Armazenamento • Acesso [Gestão] • Rede interna • Internet Garantia de: • Qualidade • Classificação dos dados • Qualidade da informação • Propósito e limitação • Dos direitos do cidadão • Do consentimento Finalidade: > Os dados produzidos e disponibilizados são para um fim específico, previamente autorizado? Proporcionalidade e pertinência: > a informação, que produzimos, é adequada ao fim preciso! Durabilidade da conservação: > A informação individual, tem limite temporal, não tem durabilidade indefinida! A gestão e privacidade implica pela parte da informação produzida: Cidadania e Responsabilidade!
  • 14. • Etapas,para Cumprir o GDPR [https://gdpr- governance.pt/free_guide.html]; • GDPR [https://eugdpr.org/] Clarificando o conceito! GDPR; RGPD; REPD?!...... Embora, não abunde na bibliografia, ainda se encontram, à data, três tipos de conceitos: GDPR > General Data Protection Regulation; REPD > Regulamento Europeu de Proteção de Dados, [https://www.sgeconomia.gov.pt/destaques/rgpd-faculdade-de-direito-da-universidade-de-lisboa-24-de- outubro-span-classnovo-novospan.aspx] RGPD > Regulamento Geral de Proteção de Dados. Obviamente, que o RGPD, trouxe muitas oportunidades de negócio, que cada um divulga e explora da melhor maneira que entende e sabe. Assim, desde a formação, até a implementação do RGPD, tudo eram, e ainda são, oportunidades que alguns não descoram. A metodologia de introdução também varia, como aqui pretendemos deixar evidente.
  • 15. O Compromisso Um dos objetivos do Regulamento Geral de Proteção de Dados é fortalecer os direitos dos indivíduos e capacitar os atores. E quanto ao processamento de dados pessoais de saúde nesta nova configuração? • A partir de 25 de maio de 2018, com a entrada em vigor do Regulamento Geral sobre a Proteção de Dados, passará a existir um conjunto único, de regras de proteção de dados, para todas as empresas ativas na UE, independentemente da sua localização. • Regras de proteção de dados mais rigorosas significam: ✓ um maior controlo dos cidadãos sobre os seus dados pessoais ✓ condições mais equitativas para as empresas • [https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018- reform-eu-data-protection-rules_pt]
  • 16. Privacy Impact Assessment – “PIA”. Antes do início de qualquer operação de tratamento de dados, e sempre que a mesma seja considerada de risco, as organizações do SNS devem realizar uma análise do impacto destas sobre a privacidade, confidencialidade e integridade dos dados processados. Maior responsabilização na seleção das entidades externas. O RGPD cria uma maior responsabilização na seleção dos prestadores de serviços, sendo impostas obrigações claras e precisas neste sentido.
  • 17. Visão estratégica da segurança da informação Informação sobre o sistema de segurança; O todo & a parte (contendo/conteúdo); O Hospital gere e processa dados de: • Caráter pessoal/profissional e de terceiros prestadores; • Dados dos utentes, na dimensão nominal; • Dados de saúde num limite estático, ou contínuo, num dado horizonte temporal, intra e interorganizacional; • Os dados de contactos gerais: dos profissionais, dos utentes, dos parceiros e subcontrantes; • Dados estes que circulam e, são acedidos em múltiplas plataformas, por profissionais diversos, a diferentes níveis, e em vários contextos geográficos .
  • 18. A análise A complexidade do sistemas de informação em saúde Gestão da doença e intervenções dos Profissionais Soluções informáticas Médicas e outras [Sclínico, SAM. SAPE, etc.] Gestão de Pessoal RH/Biométricas Ficheiros de outro programas : *.log; *.tmp e outputs de todos os outros aplicativos Partilha Correio, contatos, Nuvem, …. A importância mapeamento dos processos, da categorização dos dados; Utilitários de proteção e segurança dos metadados; Estabelecer níveis de segurança e qualidade adequados, por defeito, adotar a norma ISO 27000
  • 19. 1 • Auditar diária e constantemente; • Garantir a gestão e a governação dos dados, desde o nível operacional, • Adaptar um sistema de qualidade; 2 • Realizar auditorias diárias; • Certificar os sistemas de privacidade da informação; • Optarmos por visão de incidente nulo; 3 • Notificar dentro do prazo, a ocorrência de eventuais incidentes; • Equilibrar a segurança e os potenciais riscos…. •Uma unidade de saúde estará em conformidade quando: A produção de meta informação, torna-se num de risco potencial, onde a Organização deve garantir o controle!
  • 20. O RGTD, implica meios como: Conhecimento do processamento de dados: O quê, quando e porquê? abordagem do processo, por profissão; abordagem pelo potencial risco, Fluxos de dados, soluções, localizações e atores. O RGPD implica Registo de tratamentos: Informação e sensibilização de todos os atores [doentes, colaboradores, parceiros] Proteger os dados de maneira adequada e ajustada; Arquivo das evidências de uma boa gestão e da utilização responsável dos dados
  • 21. Complexidade do sistema de informação Informação dos níveis de segurança Alto Médio Baixo Nulo Soluções Informáticas: Gerais, Específicas e Aplicações; Ficheiros do sistema: txt. Xls, Sav, log, tmp… Correio, endereços, BYOD Acesso à rede: Terceiros usuários [subcontratos] Colaboradores ligados à rede; Periféricos médicos; WIFI, PWD e afins DADOS
  • 22. Evolução da aproximação à segurança dos dados: complementaridade das abordagens “segurança e gestão” Análise lógica do acontecimento Identificação dos pontos vulneráveis; Mapeamento da intervenção: Aplicação do protocolo Remoção dos pontos vulneráveis! Segurança da Informação > “abordagem tecnológica” Abordagem pela qualidade Gestão Física e lógica Cópias de segurança RGDP Firewall/DNS/Proxy; antimalware; Phishing
  • 23. Da Implementação a conformidade do RGPD Gestão dos dados implica: Políticas, regras, categorização e consentimento, …. certificação! Cumprimento das normas internas relativas à privacidade O quê? Dados Internos, Estruturados, não estruturados. Datacenter/local/móvel/nuvem. Software, equipamento médico, ficheiros, informação de suporte em papel . Dados conexos, e.g. “upgrades” não auditados, projetos internos paralelos, etc. Gestão do ciclo de vida dos dados: identificação, classificação, tratamento, difusão, encriptação, armazenamento, arquivo e destruição. Aplicativo A….; Periférico B…. ….. ….. [ Privacidade] > Controle interno (da organização, sobre terceiros prestadores) Partes interessadas: Gestão de topo, responsável da proteção de dados, auditor interno, sistemas de informação, sistemas de compras, comissão de ética, … Gestão da segurança: Monitorização; gestão dos direitos; reporte de incidente. Sensibilização e comunicação Colaboradores internos e externos, parceiros e utentes. Gestão operacional: Declaração espontânea; certificação interna. Gestão dos registos e tratamento dos incidentes.
  • 24. A garantia da organização e segurança dos dados está, no equilíbrio, da governação e gestão operacional” Governação: [Gestão de topo] ✓ define as regras; ✓ Dá os meios necessários; ✓ Valida as auditorias Gestão operacional: Equipa composta pelo Responsável de proteção de dados, dos sistemas de informação; responsável da segurança interna e das diferentes categorias profissionais, que promovem: ✓ O mapeamento dos processamentos e a categorização dos dados; ✓ Elaboram recomendações e definem normas; ✓ Efetuam auditorias e asseguram a segurança global; ✓ Assumem a manutenção; ✓ Efetuam a monitorização e o registo de furtos e piratarias; ✓ Corrigem e analisam os incidentes; ✓ Asseguram, reporte dos incidentes às autoridades; ✓ Mantém atualizado os registos dos incidentes.