RGPD Ana Rita Oliveira

1. Regulamento Geral de
Proteção de Dados - RGPD
Ana Rita Oliveira, l48970
Projeto submetido realizado no âmbito da UC de
Gestão de Dados

2. Contextualização e Enquadramento legal
► A evolução tecnológica veio modificar o interesse das empresas em relação à utilização dos
dados pessoais.
► Vivemos à luz de abusos do usufruto de dados pessoais por redes sociais, não sabemos que
organizações possuem os nossos dados, como é que os conseguem obter e ainda aquilo que
conseguem prever a partir deles.
► o RGPD apresenta-se como uma indispensável atualização no quadro da sociedade
informacional atual.
► Definição de dados pessoais segundo o RGPD
► O Regulamento Geral de Proteção de Dados foi aprovado a 27 de abril de 2016 e entrou em
vigor a 25 de maio de 2018, permitindo assim que as empresas se pudessem preparar para a
implementação do regulamento.

3. Contextualização e Enquadramento legal
► Os princípios relativos ao tratamento dos dados pessoais são definidos no artigo 5.º do
regulamento.
► As empresas transitam de um modelo de hétero-regulação (as organizações notificam e
solicitam à entidade reguladora a autorização para o tratamento dos dados pessoais), para
um modelo de autorregulação (recai sobre cada organização o ónus de estar conforme o novo
regulamento, ou seja, a responsabilidade está do lado das empresas).
► O RGPD impõe às organizações uma responsabilidade proativa a nível do desenvolvimento de
medidas tanto a nível técnico como organizacional que garantam que o tratamento dos dados
se realiza em conformidade com o Regulamento e que é adequado a cada risco identificado,
de modo a que tal possa ser demonstrado aos interessados, bem como às autoridades de
controlo.

4. Data Protection Officer (DPO)
► O encarregado ocupará um dos principais cargos para o bom funcionamento da nova lei, isto
porque, orientará a empresa e os seus funcionários em tudo o que estiver relacionado com as
novas regras e processos de tratamento de dados.
► Pode ainda auxiliar no processo de transição das empresas, procurando simplificar as
modificações necessárias e evitar que ocorram infrações por irresponsabilidade.
► O Encarregado da Proteção de Dados (EPD) passa a ser o responsável pela comunicação de
quebras de segurança dos dados à autoridade nacional de controlo.

5. Data Protection Officer (DPO)
► Tendo em conta o Artigo 37.º do RGPD a nomeação do EDP é de caracter obrigatório sempre
que:
► O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os
tribunais no exercício da sua função jurisdicional;
► As atividades principais do responsável pelo tratamento ou do subcontratante consistam em
operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um
controlo regular e sistemático dos titulares dos dados em grande escala; ou
► As atividades principais do responsável pelo tratamento ou do subcontratante consistam em
operações de tratamento em grande escala de dados pessoais sensíveis e dados relativos a
condenações penais e contraordenações.
► Funções do DPO

6. Data Protection Officer (DPO)
► A responsabilidade do não cumprimento das regras recai apenas na entidade responsável ou
subcontratada pelo tratamento dos dados.
► É importante garantir que o DPO esteja envolvido atempadamente e de maneira apropriada
nas questões relacionadas com a proteção de dados, que seja independente e não seja
dispensado ou penalizado por cumprir as suas funções. A execução das suas responsabilidades
não pode gerar conflitos de interesse com outras funções ou tarefas que desempenhe.

7. RGPD e sistemas de Informação
► O trabalho das empresas será centralizar a gestão dos dados pessoais ou então, garantir que
todos os sistemas estão nos conformes.
► Os gestores de informação desempenham um papel muito importante na implementação de
sistemas para o cumprimento do Regulamento dadas as suas funções.
► Atualmente, as organizações ponderam a possibilidade de criar uma responsabilidade
adicional para o DPO, ou de a fundir com a função do CISO, uma vez que o CISO é responsável
pela segurança de informação, o que inclui a proteção de dados pessoais.

8. Proposta de solução – Exemplo
► De modo a ilustrar o tema em discussão no presente relatório irá analisar-se o caso de estudo
desenvolvido no artigo Fonseca, A., Lourenço, A., Balinha, H., Martins, J., Dinis, J., Marques,
L. (2018), O RGPD: a articulação entre a gestão da informação e a gestão da segurança da
informação.
► Etapas para o desenvolvimento do estudo.

9. Proposta de solução – Exemplo

10. Proposta de solução – Exemplo
► Depois de conhecida a realidade da organização é possível iniciar a modelação do processo de
implementação.
► Neste exemplo, foi necessário renovar os processos de negócio e de suporte, tendo sido,
quando necessário, redefinida a forma de recolha, tratamento e reutilização dos dados
pessoais na interação entre processos.
► A solução encontrada no caso de estudo em análise foi adicionar uma nova componente no
sistema de informação para a produção de newsletters de subscrição voluntária.

11. Conclusão
► O tema gerou várias discussões junto da opinião pública muitas vezes pela falta de
entendimento do Regulamento.
► Hoje, com a existência de vários artigos sobre o tema as organizações e os indivíduos já estão
mais familiarizados com os seus direitos e deveres no que toca à proteção de dados.
► O papel de facilitador entre o RGPD e as organizações é desempenhado pelo DPO, que auxilia
as empresas no processo de adaptação às imposições do Regulamento e certifica-se que estas
cumprem todos os requisitos.
► Em relação ao ajustamento dos Sistemas de Informação das organizações às imposições do
RGPD existe ainda um percurso a fazer em direção ao equilíbrio que é necessário alcançar
entre a garantia dos direitos dos titulares dos dados pessoais e as ações a realizar no
tratamento dos mesmos.

12. Referências Bibliográficas
[1] Cordeiro, S., Gouveia, L., Regulamento Geral de Proteção de Dados (RGPD): o novo pesadelo
das empresas? Retrieved November 25, 2018, from Universidade Fernando Pessoa:
https://bdigital.ufp.pt/bitstream/10284/6714/1/RI_trs_07_2018.pdf
[2] Encarregado de Proteção de Dados. Available from: https://www.portaldodpo.pt/funcoes-do-
dpo/; accessed 23/11/2019
[3] Fonseca, A., Lourenço, A., Balinha, H., Martins, J., Dinis, J., Marques, L., O RGPD: a
articulação entre a gestão da informação e a gestão da segurança da informação, Retrieved
November 29, 2018: https://www.bad.pt/publicacoes/index.php/congressosbad/article/view/1867
[4] Marcondes, J., Quem é o Data Protection Officer?, Retrieved December 1, 2017, From: IT
Channel:https://www.plmj.com/xms/files/v1_antigos_anteriores_a_abr2019/2017_PDF/junho/Quem_e_o
_Data_Protection_Officer.pdf
[5] Monzelo, P., A Função do Chief Information Security Officer nas organizações, Retrieved
November 29, 2018, From: Iseg, Lisbon School of Economics and Management:
https://www.repository.utl.pt/bitstream/10400.5/17568/1/DM-PMCSM-2018.pdf
[6] Noronha, L., A criação do Data Protection Officer interpretado á luz da Lei Geral de Proteção
de Dados Pessoais, Retrieved Nvember 25, 2019:
http://intertemas.toledoprudente.edu.br/index.php/ETIC/article/view/7815
[7] Regulamento Geral sobre a Proteção de Dados (RGPD). Available from:
https://www.abreuadvogados.com/pt/conhecimento/publicacoes/artigos/regulamento-geral-
sobre-a-protecao-de-dados-rgpd/ (2019); accessed 23/11/2019
[8] RGPD: Do diagnóstico à Implementação. Available from:
https://jornaleconomico.sapo.pt/noticias/rgpd-do-diagnostico-a-implementacao-331785 (2018);
accessed 1/12/2019