RGPD Workshop

Workshop
Regulamento Geral de Proteção dos Dados
24 de maio de 2018
pedrotav@ubi.pt | https://csirt.ubi.pt
Uma ação de consciencialização organizada entre CSIRT.UBI e CFIUTE.
Entrada em vigor a 25 de maio de 2018

Será mesmo necessário obter novo consentimento para
todos os contactos existentes numa newsletter?
http://etc.ch/NhK3

Agenda
● Âmbito e Aplicação do RGPD
● A Quem Será Aplicável
● O Que Se Pretende
● Quem Fiscaliza o Cumprimento do RGPD
● Proteção de Dados em Portugal
● Definição de Dado Pessoal / Dado Pessoal Sensível
● Principais Alterações / Desafios
● Conformidade: Websites / Lojas-online
● Consciencialização
- Âmbito e Aplicação do RGPD
- A Quem Será Aplicável
- O Que Se Pretende
- Quem Fiscaliza o Cumprimento
- Proteção de Dados em Portugal
- Definição de Dado Pessoal
- Dado Pessoal Sensível
- Principais Alterações / Desafios
- Conformidade Websites/Lojas ...
- Consciencialização
http://etc.ch/NhK3

Âmbito e Aplicação do RGPD
● Foi aprovado em 27 abril 2016.
● Foi publicado a 4 de maio 2016.
● Teve aproximadamente 2 anos de aplicação.
● Entra em vigor no dia 25 de maio 2018.
● Substitui a atual legislação relativa à proteção dos dados (Lei nº 67/98 de 26
de outubro) em Portugal.
● É aplicado em todo o território da União Europeia (UE).
- O Que Se Pretende
http://etc.ch/NhK3

A Quem Será Aplicável
● Todas as entidades que tratem dados pessoais
○ Data Controller — determinam as finalidades e meios de tratamento
○ Data Processor — efetuam operações em regime de subcontratação em
nome do controlador
O responsável pelo tratamento deve aplicar medidas técnicas e organizativas
apropriadas para garantir e demonstrar que os tratamentos que realiza são
conformes com o RGPD. Uma atitude mais consciente, diligente e pró-ativa.
Responsabilidade
- O Que Se Pretende
http://etc.ch/NhK3

O Que Se Pretende
● Uniformizar o tratamento de dados, mesmo que estes circulem fora da UE.
● Garantir os direitos e liberdades dos cidadãos
Maior privacidade e
segurança sobre os dados.
Responsabilizar as
empresas no que diz
respeito à utilização,
tratamento, e segurança
dos dados pessoais.
Comunicar de forma clara e
objetiva para que são
utilizados os dados e por
quanto tempo vão ser
mantidos.
MAIS DIREITOS MAIS DEVERES MAIS TRANSPARÊNCIA
- O Que Se Pretende
http://etc.ch/NhK3

Quem Fiscaliza o Cumprimento do RGPD
A proposta de lei do Governo estabelece que a Comissão Nacional de Proteção de
Dados (CNPD) é a “autoridade de controlo nacional para efeitos do RGPD e da
presente lei”.
Nesse sentido, cabe a este organismo fiscalizar o cumprimento do RGPD (e da
restante legislação relativa à proteção de dados pessoais), assim como corrigir e
sancionar possíveis irregularidades e incumprimentos.
- O Que Se Pretende
http://etc.ch/NhK3

Quem Fiscaliza o Cumprimento do RGPD
Comissão Nacional Proteção dos Dados (CNPD):
Agora essa autorização desaparece e
todo o ónus passa para as empresas …
Têm que ser elas a demonstrar que
estão a cumprir todas as ordens que
vêm no regulamento.
Fonte
http://www.tvi24.iol.pt/tecnologia/28-01-2017/empresas-devem-preparar-se-para-novo-regulamento-de-protecao-de-dados
https://www.cnpd.pt/bin/Duvidas/vv_financeiras.aspx
- O Que Se Pretende
http://etc.ch/NhK3

Proteção de Dados em Portugal
● Em 1990, a comissão europeia apresenta a primeira diretiva relativa à
proteção dos dados que viria a ser aprovada em 1995.
● Em 1991, em portugal, foi criada a Lei nº 10/91 de 29 de abril, “Lei da
Proteção de Dados Pessoais face à Informática”. Esta lei deu também
origem à Comissão Nacional de Proteção dos Dados (CNPD).
● Em 1995, é aprovada a diretiva 95/46/CE do Parlamento Europeu e do
Conselho de 24 de outubro.
● Em 1998 surge a transposição da diretiva 95/46/CE pelo Estado Português e
consequente aprovação da Lei nº 67/98 de 26 de outubro.
● A 25 de maio de 2018 entra em vigor o RGPD (aplicação automática).
- O Que Se Pretende
http://etc.ch/NhK3

Definição de Dado Pessoal
Toda e qualquer informação relativa a uma pessoa singular e que permita a sua
identificação (nome, nº. telefone, e-mail, género, dados biométricos, fotografias,
endereço de IP, endereço MAC).
O que é um dado pessoal?
Estão abrangidos pelo RGPD os dados transmitidos de
forma verbal ou escrita e armazenados em formato
papel ou digital.
- O Que Se Pretende
http://etc.ch/NhK3

Definição de Dado Pessoal Sensível
São considerados dados sensíveis todos aqueles que revelem origem étnica, opiniões
públicas, crenças religiosas ou filosóficas, associação sindical, dados biométricos e dados
sobre saúde e orientação sexual.
Não podem ser processados diretamente, tirando algumas exceções. É necessário
sempre DPIA e um DPO.
O que é um dado pessoal sensível?
Estão abrangidos pelo RGPD os dados transmitidos de
forma verbal ou escrita e armazenados em formato
papel ou digital.
- O Que Se Pretende
http://etc.ch/NhK3

Principais Alterações / Desafios
1. Fundamento Jurídico para o Tratamento de Dados Lícito
2. Prova e Evidência de Cumprimento (Accountability)
3. Novos Direitos e Necessidades de Adaptação
4. Notificação da Violação de Dados
5. Reforço da Segurança dos Dados
6. Data Protection Officer (DPO)
7. Exigências para Subcontratantes
8. Coimas
- O Que Se Pretende
http://etc.ch/NhK3

Quais os fundamentos jurídicos para tratamento de dados?
● Consentimento
● Execução de um contrato
● Cumprimento de uma obrigação jurídica
● Defesa de interesses vitais do titular dos dados ou de outra pessoa singular
● Interesses legı́timos
A identificação do fundamento jurídico do tratamento é indispensável para demonstrar o
cumprimento com o RGPD ((art. 13.º, n.º 1 al. c) e 14.º, n.º 1 al. c)).
- O Que Se Pretende
http://etc.ch/NhK3

Exemplos: Consentimento (transparente, desagregado e leal)
- O Que Se Pretende
http://etc.ch/NhK3

2. Prova e Evidência de Cumprimento (Accountability)
As organizações têm de conseguir provar que cumprem com o regulamento:
● Minimização: os dados pessoais que possuem são legítimos e estão limitados à
necessidade.
● Políticas de Acesso: os dados estão atualizados, seguros e confidenciais.
● Código de conduta e procedimentos internos: a empresa tem que garantir que está
compliant com o RGPD (documentação) e os seus colaboradores também (são
conhecedores do regulamento e das práticas associadas).
● Acompanhamento Contínuo: sistemas para monitorizar se as políticas e procedimentos
estão a ser seguidos (documentação, DPIA e acompanhamento por um DPO).
- O Que Se Pretende
http://etc.ch/NhK3

3. Novos Direitos e Necessidades de Adaptação
● Direito à informação (art. 13.º e 14.º)
● Direito de acesso (art. 15.º)
● Direito de retificação (art. 16.º)
● Direito ao apagamento (art. 17.º)
● Direito à limitação do tratamento (art. 18.º)
● Direito de portabilidade (art. 20.º)
● Direito de oposição (art. 21.º)
● Direito em relação a decisões individuais automatizadas (art. 22.º)
● Direito de informação quando ocorra uma violação de dados pessoais (art. 34.º)
Sou titular de 9 direitos sobre os meus dados!
- O Que Se Pretende
http://etc.ch/NhK3

4. Notificação da Violação de Dados
Quando deve ser comunicada?
Quando a violaç ão dos dados pessoais for suscetı́vel de implicar um elevado risco para os direitos e
liberdades dos titulares. Em caso de incumprimento a organização pode ser sancionada.
O DPO deve comunicar a violação:
● Prazo: “sem demora injustificada” — até 72h depois da deteção.
● Comunicar: ao titular e ao regulador (CNPD).
● Conteúdo: nome e contacto do DPO (ou outro ponto de contacto); descrição das consequências
prováveis da violação; medidas adotadas para “reparar” a violação; e medidas para atenuar
potenciais efeitos negativos.
As organizações têm de ser capazes de detetar qualquer violação de dados, logo que ela ocorra.
- O Que Se Pretende
http://etc.ch/NhK3

5. Reforço da Segurança dos Dados
● Implementação de sistemas de segurança (monitorização, WAFs, IAM e incident handling).
● Segurança dos dados desde a sua génese (criptografia end-to-end, minimização,
pseudo-anonimização e anonimização, desagregação, etc).
● Capacidade de localizar dados pessoais e eliminar os que não estão conforme (digital,
papel, ou em subcontratantes).
● Privacy and Security by Default (pensar na gestão e tratamento da informação desde o
ínicio).
● Data Privacy Impact Assessment: Analisar o impacto da proteção dos dados (auditoria).
- O Que Se Pretende
http://etc.ch/NhK3

Deve ser designado um Encarregado da Proteção de Dados sempre que:
● O tratamento for efetuado por uma autoridade ou um organismo público
● As atividades principais do responsável pelo tratamento ou do subcontratante consistam em
operações de tratamento em grande escala; ou
● As atividades principais do responsável pelo tratamento ou do subcontratante consistam em
operações de tratamento em grande escala de categorias especiais de dados.
As empresas que processem grandes quantidades de dados considerados sensíveis (em
larga escala) devem nomear um DPO. Este será o maior responsável da empresa pelo
compliance relativamente às responsabilidades legais.
- O Que Se Pretende
http://etc.ch/NhK3

De uma forma resumida, algumas responsabilidades do DPO são:
● Receber reclamações e comunicações dos titulares dos dados pessoais, prestar
esclarecimentos e adotar providências;
● Receber comunicações de órgãos reguladores e adotar as providências cabíveis;
● Orientar os funcionários e os contratados da empresa a respeito das práticas a serem
tomadas em relação à proteção de dados pessoais;
● Treinar os funcionários envolvidos no tratamento de dados pessoais;
- O Que Se Pretende
http://etc.ch/NhK3

● Manter registos de todas as práticas de tratamento de dados pessoais conduzidas pela
empresa, incluindo o propósito de todas as atividades desenvolvidas (Data Mapping e
DPIA);
● Auxiliar no desenvolvimento de produtos, serviços e práticas por meio da adoção de
metodologias como privacy by design e data protection by design.
- O Que Se Pretende
http://etc.ch/NhK3

7. Exigências para Subcontratantes
● O responsável pelo tratamento deve “criar” ou rever os contratos com os subcontratantes.
● Têm o dever de estar compliant com o RGPD (em matéria de confidencialidade e
segurança).
- O Que Se Pretende
http://etc.ch/NhK3

8. Coimas
No caso de uma contraordenação grave, as coimas mínimas previstas são:
● 1000€ para PME;
● 2500€ para grandes empresas;
● 500€ para pessoas singulares.
No caso de uma contraordenação muito grave, as coimas mínimas previstas são:
● 2000€ para PME;
● 5000€ para grandes empresas;
● 1000€ para pessoas singulares
O regulamento europeu já previa limites máximos para as coimas: 20 milhões de euros ou 4% do volume de
negócios global para as empresas em incumprimento. No entanto, o Governo português decidiu ainda definir
valores mínimos das coimas na proposta de lei aprovada em Conselho de Ministros, com valores específicos
para pequenas e médias empresas (PME).
- O Que Se Pretende
http://etc.ch/NhK3

8. Coimas
Entidades públicas isentas de coimas
As entidades públicas não estarão sujeitas a coimas por não cumprimento do RGPD, estabelece
ainda a proposta de lei. Esta decisão foi aprovada em Conselho de Ministros tendo em conta o
artigo 83.º do RGPD, que estabelece que cabe aos Estados-Membros determinar se as coimas se
aplicam a autoridades e organismos públicos.
Segundo o Governo, esta isenção é prevista para o espaço de três anos com intuito de permitir que
as entidades públicas se preparem. Depois deste período, a isenção será reavaliada.
- O Que Se Pretende
http://etc.ch/NhK3

Conformidade: Websites e Lojas-Online
Fonte: https://www.entrepreneuryork.com/marketing/front-rgpd-human-resources-front-line/
- O Que Se Pretende

- O Que Se Pretende
Por onde começar?
Já sei, vou elaborar uma checklist!
http://etc.ch/NhK3

1. SSL / TLS (Certificado X.509 — HTTPs)
- O Que Se Pretende

2. Levantamento de plugins de terceiros.
- O Que Se Pretende

2. Política de Cookies + Disclaimer.
- O Que Se Pretende
Política de Cookies
- O que são Cookies
- Para que servem
- Que tipo de cookies usamos (permanente e sessão)
- Para que fins utilizamos cookies (analiticos, terceiros)
- O que acontece quando cookies são desativados
-Cookies utilizados neste website:
-Data da última atualização

3. Formulários com opt-ins (desagregadas e transparentes)
- O Que Se Pretende

3. Formulários com opt-ins (desagregadas e transparentes)
- O Que Se Pretende
1
2

3. Formulários com opt-ins (desagregadas e transparentes)- Âmbito e Aplicação do RGPD
- O Que Se Pretende

4. Minimização dos dados recolhidos- Âmbito e Aplicação do RGPD
- O Que Se Pretende

5. Granularidade na ativação e desativação de notificações- Âmbito e Aplicação do RGPD
- O Que Se Pretende

5. Políticas de privacidade adequadas, transparentes e leais- Âmbito e Aplicação do RGPD
- O Que Se Pretende
Exemplo de questões para construir uma política de privacidade compliant
● Quem é a entidade? Quem irá tratar os dados (a pessoa responsável ou entidade)
● Que informação é recolhida (nome, e-mail, endereços, etc.) e qual a sua finalidade
quando são processados.
● Porque o website recolhe essa informação; Porque é necessário recolhê-la.
● Como é que a informação é guardada, por quanto tempo, e se existem os mecanismos
mínimos de segurança.
● Com quem a informação é partilhada (third-parties).
● Etc.

6. Envio de e-mails e campanhas de marketing
● É possível provar o consentimento?
● Existe uma base contratual?
● Outro fundamento jurídico?
- O Que Se Pretende
Sim
Não

6. Envio de e-mails e campanhas de marketing- Âmbito e Aplicação do RGPD
- O Que Se Pretende
1
2

7. Backups e mecanismos de segurança e monitorização
(evite violações e sanções)
- O Que Se Pretende

8. Conteúdo Multi-língua
- O Que Se Pretende

Consciencialização
Caso 1: Ataques de Phishing direcionado
- O Que Se Pretende

Consciencialização
Caso 2: RGPD como uma oportunidade maliciosa
1. Ciber atacante acede a uma base de dados de uma empresa através de uma
falha no sistema.
2. Ciber atacante envia um e-mail ao CEO da empresa para ele pagar uma
determinada quantia. Se a quantia exigida não for paga, os dados são
divulgados e será emitida uma notificação de violação de dados à CNPD.
3. CEO, melindrado, emite uma transferência para o ciber atacante.
4. …
5. Ciber atacante acaba por divulgar os dados.
- O Que Se Pretende

<< O meu bem-haja a todos >>
pedrotav@ubi.pt
Questões?

RGPD Workshop

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a RGPD Workshop

Semelhante a RGPD Workshop (20)

RGPD Workshop