SlideShare uma empresa Scribd logo
1 de 31
Regulamento Geral Proteção de Dados (EU) 2016/679
Projeto de avaliação e adaptação ao
RGPD
Ricardo Marques
linkedin.com/in/ricardmarques
INTRODUÇÃO
• Modelo para implementação RGPD – General Data
Protection Regulation - (EU) 2016/679
Publicado no dia 4 de maio de 2016, o RGPD – Regulamento Geral de Proteção de
Dados vem obrigar à implementação de regras dentro de empresas e entidades
públicas. Este regulamento, que visa garantir a privacidade dos dados dos cidadãos
da União Europeia é um documento complexo e de obrigatoriedade legal a partir de
25 de maio de 2018.
• Objectivo RGPD: aplicar o regulamento legal de Protecção de Dados
único na UE
– O Regulamento não necessita de mais legislação ou autorizações
pelos governos nacionais para futura aplicação e vinculação em
cada Estado-membro.
– Pretende simplificação e unificação do ambiente regulamentar
na Economia / Negócio internacional
• RGPD vem alterar o modelo como as organizações têm de gerir as
suas pessoas, políticas, processos e tecnologias.
BENEFÍCIOS DA CONFORMIDADE COM O RGPD
• Cumprir a lei e estar preparado para o novo
Regulamento, limitando os riscos de perda de
dados e evitar a aplicação de coimas;
• Ganhar a confiança dos seus clientes;
• Segurança e confiança no uso das novas
tecnologias pelos seus colaboradores e clientes;
• Proteger a imagem e a reputação da sua
empresa;
• Aumentar o valor real perante o Mercado!
DADOS PESSOAIS
O que são Dados Pessoais
Qualquer informação, de qualquer natureza e
independentemente do respetivo suporte, incluindo som e
imagem, relativa a uma pessoa singular identificada ou
identificável (”titular dos dados”);
– é considerada identificável a pessoa que possa ser
identificada direta ou indiretamente, designadamente por
referência a um identificador como o nome, número de
identificação ou a um ou mais elementos específicos da
sua identidade física, fisiológica, mental, económica,
cultural ou social.
OS PRINCIPIOS DO RGPD
Princípios relativos ao tratamento – agora são 6 + 1
1. «licitude, lealdade e transparência»
2. Recolhidos para finalidades determinadas, explícitas e legítimas
...«limitação das finalidades»
3. Adequados, pertinentes e limitados ...«minimização dos dados»
4. Exatos e atualizados sempre que necessário... «exatidão»
5. Conservados ... apenas durante o período necessário...«limitação
da conservação»
6. Tratados de uma forma que garanta a sua segurança, incluindo a
proteção contra... a sua perda, destruição ou danificação, ...
«integridade e confidencialidade»
7. O responsável pelo tratamento de dados é... «responsabilidade»
DIREITOS DO TITULAR DOS DADOS
Direitos do titular de dados
1. Transparência das informações… de forma concisa, transparente, inteligível e
de fácil acesso…
 Respostas ao exercício dos direitos dos titulares… no prazo de 1 mês
2. Direito de acesso
3. Direito de retificação
4. Direito ao apagamento dos dados «direito a ser esquecido»
5. Direito à limitação do tratamento
 Obrigação de notificação da retificação, apagamento ou limitação do tratamento
6. Direito da portabilidade dos dados
7. Direito de oposição … a qualquer momento, … incluindo definição de perfis …
ou para efeitos de comercialização direta … (Marketing???)
8. Direito de oposição a “Decisões individuais automatizadas, incluindo
definição de perfis – “profiling”
9. Alargado as regras de “Informações a facultar na recolha de dados junto do
titular”
 Art 13 - …obrigação de prestar as seguintes informações: P1. alíneas a) – f) e P2. a) – f
OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO
Aplica as medidas técnicas e organizativas que forem adequadas para
assegurar e comprovar a conformidade do tratamento com o regulamento
Aplicação de políticas em matéria de proteção de dados
Cumprimento de códigos de conduta …
Proteção de dados desde a conceção e por defeito
Responsabilidade conjunta de responsáveis do tratamento
Subcontratante – regulado por contrato que vincula ao responsável do
tratamento de acordo com obrigações regulamentadas por escrito, a) – h)
PROTEÇÃO DE DADOS DESDE A CONCEÇÃO E POR DEFEITO
• Art25 -Privacy byDesignandbyDefault
Proteção desde a
definição dos meios
de tratamento
Privacy by Default –
apenas os dados
pessoais
necessários
Pseudonimização
Minimização de
Dados
OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO
Artigo 30º Registos das atividades de tratamento
Artigo 31º Cooperação com a autoridade de controlo
Artigo 32º Segurança do tratamento
Artigo 33º Notificação de uma violação de dados pessoais à
autoridade de controlo
Artigo 34.o Comunicação de uma violação de dados pessoais ao
titular dos dados
Artigo 35º Avaliação de impacto sobre a proteção de dados
SEGURANÇA DOS DADOS PESSOAIS
• Art32 -Segurança dotratamento
…o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas
para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:
pseudonimização e a
cifragem dos dados
pessoais
capacidade de assegurar a
confidencialidade,
integridade, disponibilidade
e resiliência permanentes
dos sistemas e dos serviços
de tratamento
capacidade de restabelecer
a disponibilidade e o acesso
aos dados pessoais de
forma atempada no caso de
um incidente físico ou
técnico
processo para testar,
apreciar e avaliar
regularmente a eficácia das
medidas técnicas e
organizativas para garantir a
segurança do tratamento
Disponibilidade
e resiliência
Auditorias
interna e/ou
externa
BCR Plano de
Recuperação e
Continuidade
CONDIÇÕES GERAIS PARA A APLICAÇÃO DE COIMAS
• Art 83º Condições gerais para a aplicação de coimas
4. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o nº 2, a coimas
até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível
mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais
elevado:
•Art 8 Condições aplicáveis ao consentimento de crianças…
•Art 11º Tratamento que não exige identificação
•Art 25º Proteção de dados desde a conceção e por defeito
•Art 26º Responsáveis conjuntos pelo tratamento
•Art 28º Subcontratante – “Processor”
•Art 30º Registos das atividades de tratamento
•Art 31º Cooperação com a autoridade de controlo
•Art 32º Segurança do tratamento
•Art 33º Notificação de violação de dados pessoais à autoridade de
controlo e Art 34º … ao titular dos dados
•Art 35º Avaliação de impacto sobre a proteção de dados “PDIA”
•Art 37º Designação do encarregado da proteção de dados (38º e 39º
Funções)
a) As obrigações do responsável pelo
tratamento e do subcontratante nos termos
dos artigos 8º, 11º, 25º a 39º e 42º e 43º;
•Art 42º Certificação … para efeitos de comprovação da conformidade das operações
de tratamento
•Art 43º Organismos de certificação
b) As obrigações do organismo de certificação
nos termos dos artigos 42º e 43º;
•Art 40º Códigos de conduta
•Art 41º … em caso de violações do código por um responsável pelo tratamento ou por
um subcontratante…
c) As obrigações do organismo de supervisão nos
termos do artigo 41º, n 4; Art 41º
CONDIÇÕES GERAIS PARA A APLICAÇÃO DE COIMAS
• Art 83º Condições gerais para a aplicação de coimas
5. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o nº 2, a coimas
até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível
mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais
elevado:
a) Os princípios básicos do tratamento, incluindo as
condições de consentimento, nos termos dos artigos
5º, 6º, 7º e 9º;
• Art 5 Princípios relativos ao tratamento de
dados pessoais
• Art 6 Licitude do tratamento
• Art 7 Condições aplicáveis ao consentimento
• Art 9 Tratamento de categorias especiais de
dados pessoais
b) Os direitos dos titulares dos dados nos termos dos
artigos 12º a 22º;
• Art 12 a 22 Direitos do titular dos dados
Transparência das informações, das comunicações e
das regras …, Informação e acesso aos dados
pessoais , Retificação e apagamento , Direito à
limitação do tratamento, Direito de portabilidade
dos dados , Direito de oposição e decisões
individuais automatizadas
c) As transferências de dados pessoais para um
destinatário num país terceiro ou uma organização
internacional nos termos dos artigos 44º a 49º;
Transferências de dados pessoais para países
terceiros ou organizações internacionais
d) As obrigações nos termos do direito do Estado-
Membro adotado ao abrigo do capítulo IX;
Disposições relativas a situações específicas de
tratamento (Art 85º a 91º)
e) O incumprimento de uma ordem de limitação,
temporária ou definitiva, relativa ao tratamento ou à
suspensão de fluxos de dados, emitida pela
autoridade de controlo nos termos do artigo 58º, nº 2,
ou o facto de não facultar acesso, em violação do
artigo 58º, nº 1.
Autoridades de controlo independentes
Artº 47 Poderes
IMPACTO ECONÓMICO DA PROTEÇÃO DE DADOS
PORQUÊ - CUSTO DE PERDA / ROUBO DE DADOS PESSOAIS
Quais as implicações e o potencial impacto da perda ou roubo de Dados
Pessoais no actual mundo dos negócios?
• $3.62 Milhões: é o custo total médio de um “data breach” para as 419
empresas participantes deste estudo - com uma média de 24.089 registos
perdidos ou roubados.
• $141: O custo médio para cada Dado pessoal perdido ou roubado
contendo informação sensível ou confidencial diminuiu para $141. Custo
por registo mais elevado: Saúde $380, Financeiro $245 e Serviços $223.
• 1 em 4: O estudo permite estimar uma probabilidade de 27.7% que cada
organização participante do estudo terá pelo menos um evento de “data
breach” nos próximos 24 meses.
Source: 2017 Cost of Data Breach Study: Global Overview – Ponemon Institute June 2017
https://www.ibm.com/security/infographics/data-breach/
Análise envolveu 419 empresas de 17 Indústrias – Saúde, Finanças, Tecnologia, Serviços, ...
O QUE ESTÁ EM JOGO
Exemplos de incidentes de Privacidade e Roubo de dados
• HCA International Ltd (UK)
– Dados pessoais
– Coima 200.000 £
• London’s Royal Free hospital (UK)
– Dados de 1.6 milhões pacientes
– Revisão e supervisão de processo
• Nottinghamshire County Council
– Dados pessoais de 3.000 utentes
– Coima 70.000 £
• Greater Manchester Police
– Dados pessoais (3 vítimas abusos)
– Coima 150.000 £
O QUE ESTÁ EM JOGO
Saúde
http://www.healthcareitnews.com/slideshow/biggest-healthcare-
breaches-2017-so-far?page=1
• Mid-Michigan Physicians Imaging
Center:
• Dados pessoais e saúde de 106.000
pacientes. Coima de $475,000 USD
• St. Mark’s Surgery Center
– dados pessoais e médicos de 34.000
pacientes. Coima de $475,000 USD
• Pacific Alliance Medical Center
– Dados pessoais e saúde de 266K
• …
ORGANIZAÇÃO FUNCIONAL SEGUNDO O RGPD
European Data Protection Board
Autoridade de Controlo
(art 51)
Data Controller
(Resp. Tratamento)
Supervisão e Avaliação da execução
Data Processor
(Subcontratantes)
Países … Tratamento
transfronteiriço Garantias ?
Partilha e
Segurança
Data Subject
(Titular dos Dados)
Terceiros
Divulgação ?
DPO
TI
Legal
Business Unit
Obrigações
Direitos
Autoridade de Controlo
interessada
QUEM DEVE PARTICIPAR?
Responsáveis e Entidades a envolver:
Board of Directors
CEO
HR Employees/Staff
IT Employees/Staff
Legal Employees/Staff
Quality
Manager (generic/line) Employees/Staff
Chief Information
Security Officer (CISO)
Data Protection Officer
Objectivos e orientação
Operação e Conformidade
METODOLOGIA – ABORDAGEM CORRETA AO RGPD
METODOLOGIAS – ABORDAGEM CNIL
CNIL Metodologia em 6 passos
1. Assignar a equipa e DPO
• Nomear uma equipa responsável pela
avaliação e implementação de medidas
2. Inventário - Cartografar e referenciar os tratamentos
de Dados pessoais
• Identificar em detalhe o registo
e tratamento de Dados pessoais –
manter um registo atualizado de atividades
envolvendo tratamento de dados pessoais
3. Priorizar ações - face aos riscos
• Definir prioridades para
implementar medidas de conformidade ao
RGPD e avaliação de riscos
4. Gestão de riscos
• Tratamento de maior risco, conduzir PIA /
DPIA e assegurar conformidade ( CNIL’s 2015
PIA guide)
5. Organizar os processos internos
• Avaliar e implementar processos
internos para garantir a proteção e
privacidade dos dados e as obrigações de
notificação conforme RGPD – Formação e
awareness, Pedidos DSAR, Processo
de Notificações, ...
6. Documentar e manter evidências -
• Organizar e manter atualizada a
documentação e as evidências da
conformidade aos princípios do RGPD.
https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-
des-donnees
https://www.huntonprivacyblog.com/2017/03/17/cnil-publishes-six-step-methodology-
tools-prepare-gdpr/
METODOLOGIAS – ABORDAGEM ICO
1. Accountability and governance
• Nomear uma equipa responsável pela
avaliação e implementação de medidas
• Definição de política geral de proteção e
privacidade de Dado
2. Awareness – definir plano de comunicação e formação
interna sobre as alterações do RGPD
3. Informatiom you hold - Key areas to consider
• Identificar base legal do registo e tratamento
de Dados pessoais , Consentimento,
Menores,…
• Auditoria de informação relativo a dados
registados e respetivo tratamento
4. Communicating privacy information
5. Individuals' rights
• Comunicar direitos de privacidade
• Avaliar e rever tratamento dos Direitos dos
titulares, gestão de pedidos,
• Preparar e realizar PIA / DPIA
6. Breach notification
• Processos de notificação em situação de
falhas de privacidade
7. Transfer of data
• Processos de transferência de dados,
subscontratados e/ou internacionais
8. Documentar e manter evidências -
• Organizar e manter atualizada a
documentação e as evidências da
conformidade aos princípios do RGPD.
METODOLOGIAS – ABORDAGEM CNPD
1. Informação aos titulares dos dados
• Reformular impressos, políticas de privacidade e
todos os textos que prestem informação aos
titulares dos dados
2. Exercício dos direitos dos titulares dos dados
• Rever procedimentos internos de garantia do
exercício dos direitos dos titulares dos dados, ,
em especial aos prazos máximos de resposta.
3. Consentimento dos titulares dos dados
• Rever a forma e circunstâncias em que foi obtido
o consentimento dos titulares.
4. Dados sensíveis
• Avaliar condições para o seu tratamento, relativas
à licitude do tratamento, aos direitos ou às
decisões automatizadas.
5. Documentação e Registo de atividades de tratamento
• Documentar de forma detalhada todas as
atividades relacionadas com o tratamento de
dados pessoais, quer os responsáveis do
tratamento quer as sub-contratadas.
6. Contratos de subcontratação
• RGPD veio especificar o conteúdo dos contratos
de subcontratação, impondo a introdução de um
vasto conjunto de informações
7. Encarregado de proteção de dados
8. Medidas técnicas e organizativas e segurança do
tratamento
9. Proteção de dados desde a conceção e avaliação de
impacto
10. Notificação de violações de segurança
• Procedimentos internos e ao nível da
subcontrata- ção, se for o caso, para lidar com
casos de violações de dados pessoais,
designadamente na deteção, identificação e
investigação das circunstâncias, medidas
mitigadoras,...
https://www.cnpd.pt/bin/rgpd/10_Medidas_para_preparar_RGPD_CNPD.pdf
NOSSA ABORDAGEM - METODOLOGIA PDCA
•Implementação
e
Transformação
•Manutenção e
adaptação a
novas
alterações
•Avaliação,
Inventariação e
Diagnóstico
•Assessment -
Controlo e
melhoria
contínua
Act Plan
DoCheck
ABORDAGEM AO PROJETO ASSESSMENT
Identificação das principais Obrigações e Requisitos de conformidade ao RGPD
Análise de Riscos de incorformidade: Legal – Assessment Jurídico ; TI –
Assessment tecnológico: Descoberta e Inventário; Segurança – Assessment
Descoberta e Inventário – Sistemas, Dados, Fluxos e Transferências
Execução de análise de Impacto (Princípio do DPIA – Data Protection Impact
Analysis)
Identificação de Gap Analysis: Processo de Gestão da Segurança; Politica de
Acessos; Sistemas de Proteção
Recomendações
Jurídico - Legal Processos e Tecnologia Segurança
OBJETIVOS DO PROJETO – VISÃO DOS DESAFIOS E SOLUÇÃO PROPOSTA
Desafios Serviços Descrição dos Serviços
Avaliar o grau de conformidade das
diferentes áreas da Organização com o
RGPD
GDPR gap analysis Realizar e entregar uma Avaliação detalhada, evidenciando o
atual estado da Organização relativamente ao RGPD, e um plano
de atividades e recomendações para endereçar os gaps e os
respetivos riscos.
Avaliar a situação atual relativa aos Dados
pessoais na Organização – Quais, Quem,
Onde, e Como são mantidos os Dados.
GDPR data flow audit Realizar e entregar um inventário de categorias de Dados
Pessoais recolhidos, processados e guardados pela Organização
e, respetivo mapeamento dos processos com fluxos de dados.
Avaliar os riscos relativos ao RGPD da
introdução de novos processos e sistemas
de informação.
Data protection impact
assessment (DPIA)
Realizar e entregar uma avaliação dos riscos da proteção de
dados pessoais associados aos principais processos ou sistemas
de dados pessoais e o respetivo plano de mitigação de riscos.
Avaliar a qualidade das políticas e
guidelines de segurança da informação no
âmbito da RGPD
Security check Análise de principais ameaças e vulnerabilidades.
Plano de resposta a incidentes e Recomendações
Avaliar e recomendar um plano de
atividades para o projeto de
conformidade ao RGPD.
Serviços de transição e
preparação para o RGPD
Realizar e recomendar um plano de projeto para uma transição
para o RGPD, que deve incluir:
1.Política global de Proteção de Dados
2.Políticas, processos e procedimentos gerais
3.Política global de Segurança da informação
4.Gestão de Incidentes
5.Política de Transferência de dados com Terceiros
6.Documentação obrigatória de “compliance”
Avaliar plano de comunicação, de
formação e “awareness” aos gestores e
colaboradores chave sobre o RGPD.
Formação de RGPD –
awareness
Realizar e recomendar plano de comunicações orientado a todos
os colaboradores da Organização. Realizar sessões de
“Awareness” de introdução sobre princípios e responsabilidades
fundamentais definidos no RGPD.
ABORDAGEM – AVALIAÇÃO SISTEMAS TI & SEGURANÇA
1. Inventário
2. Captura / Utilização / Partinha
3. Políticas de TI e Segurança -
4. Arquivo e Retenção
5. Segurança TI e Operações
6. Data Security
7. Deteção “Data Breach”, Resposta e Reporting
8. Apagar e Destruir
AVALIAÇÃO DE SEGURANÇA - SECURITY CHECK
1ª Fase - Levantamento
• Avaliar a qualidade das políticas e guidelines de segurança da informação no âmbito da RGPD e plano de resposta
a incidentes.
2ª Fase – Avaliação
• Análise de ameaças e vulnerabilidades
• Teste de intrusão (pentesting) automático e manual.
• Categorização das vulnerabilidades de web apps com OWASP Top10.
• Criação de POC (proof-of-concept) de vulnerabilidades encontradas para replicação pelos desenvolvedores.
• Plano de resposta a incidentes e relatório com recomendações
Nota: dependendo do scope a definir, a análise pode incidir sobre web apps, apps móveis, servidores, rede wi-fi, IOT, e
outras áreas da fundação, clínica e centro de investigação. Exclui o solucionamento das vulnerabilidades, sendo o
processo Analisar-Testar-Informar.
3ª Fase – Implementação
• Workshop com staff para awareness de segurança na óptica do utilizador com foco em “social engineering”,
“malware” e “phishing”.
4ª Fase – Validação (estimado 3 a 6 meses após entrega das recomendações)
• Auditoria de validação das implementações recomendadas.
ÁREAS DE GESTÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
Uma visão do âmbito dos possíveis fluxos de trabalho, avaliação e resultados “deliverables” do projeto.
Políticas de
Governance
Inventário e Fluxos
de dados
Políticas de
Segurança e
Privacidade
Operações
Formação e
informação
Gestão de Risco
Gestão de Terceiros
e Subcontratados
Processos de
Notificações
Gestão de Pedidos e
e Reclamações
Monitorização e
avaliação geral
Gestão de Quebra e
Perda de dados
Entidades de
Supervisão,
Auditorias e
Compliance externa
Visão de estado de Tarefas e Resultados:
Verde - on track,
Cinza - em standby,
Laranja – em risco de atraso,
Vermelho – em atraso confirmado.
REGISTOS DAS ATIVIDADES DE TRATAMENTO (ART 30)
PLATAFORMA DE GESTÃO DE SERVIÇOS
• Gestão de serviços definidos pelo RGPD
Container Deployment Foundation
Physical Virtual Cloud
Applications InfrastructureServices
Configuration management | Automated service modeling
Processes Asset
management
Portal de serviços
Automation
Big Data Analytics
Container
Documentos, Processos e fluxos de dados definidos na
plataforma de gestão de serviços:
 Portal do titular de dados
 Política geral de proteção de dados pessoais
 Política geral de Segurança de informação e dados
 Política de proteção de dados de colaboradores
 Registo de notificações
 Responsável de Proteção de Dados Descrição de
função
 Procedimento de Inventário de atividades de
processamento de dados
 Inventário de atividades de processamento de dados
 Formulário de consentimento de titular para
finalidade específica
 Formulário para retirada de consentimento
 Procedimentos de pedidos de acesso
 Metodologia de DPIA Data Protection Impact
Assessment
 Registo de DPIA
 Clausulas contratuais standard
 Questionário de conformidade RGPD para
subcontratados
 Acordo de subcontratação associado a processamento
de dados
 muitos mais ….
Anexos
Informação sobre RGPD

Mais conteúdo relacionado

Mais procurados

LGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisLGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisEliézer Zarpelão
 
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisRosalia Ometto
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpdanselmo333
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisDouglas Siviotti
 
Marco Civil da Internet no Brasil
Marco Civil da Internet no BrasilMarco Civil da Internet no Brasil
Marco Civil da Internet no BrasilLuiz Agner
 
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaRosalia Ometto
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDEliézer Zarpelão
 
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOLGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOWellington Monaco
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...Wellington Monaco
 
Privacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do ProdutoPrivacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do ProdutoDouglas Siviotti
 
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...Wellington Monaco
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
 

Mais procurados (20)

LGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisLGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados Pessoais
 
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpd
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados Pessoais
 
Marco Civil da Internet no Brasil
Marco Civil da Internet no BrasilMarco Civil da Internet no Brasil
Marco Civil da Internet no Brasil
 
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPD
 
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOLGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
 
LGPD
LGPDLGPD
LGPD
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Deep web
Deep webDeep web
Deep web
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
 
Privacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do ProdutoPrivacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do Produto
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Redes sociais apresentação completa
Redes sociais   apresentação completaRedes sociais   apresentação completa
Redes sociais apresentação completa
 
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
 

Semelhante a 201711 abordagem rgpd

Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...Embratel
 
RGPD em menos de 3 minutos
RGPD em menos de 3 minutosRGPD em menos de 3 minutos
RGPD em menos de 3 minutosVitor Costa
 
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...Hugo Seabra
 
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario ViolaWorkshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario ViolaCNseg
 
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia CicarelliCNseg
 
EXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdfEXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdfssusera7d631
 
apresentacao_webinar_rgpd_202204.pdf
apresentacao_webinar_rgpd_202204.pdfapresentacao_webinar_rgpd_202204.pdf
apresentacao_webinar_rgpd_202204.pdfjmpina1969
 
Workshop RGPD | CFIUTE - 24 maio 2018
Workshop RGPD | CFIUTE - 24 maio 2018Workshop RGPD | CFIUTE - 24 maio 2018
Workshop RGPD | CFIUTE - 24 maio 2018Pedro Tavares
 
Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...eurosigdoc acm
 
Introdução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneIntrodução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneEliézer Zarpelão
 
LGPDY - Lei Geral de proteção de dados
LGPDY - Lei Geral de proteção de dadosLGPDY - Lei Geral de proteção de dados
LGPDY - Lei Geral de proteção de dadosFellipe Guimarães
 
RGPD - Testemunho do Mundo Real
RGPD - Testemunho do Mundo RealRGPD - Testemunho do Mundo Real
RGPD - Testemunho do Mundo RealAndré Vala
 

Semelhante a 201711 abordagem rgpd (20)

Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...
 
LGPD e Segurança da Informação
LGPD e Segurança da InformaçãoLGPD e Segurança da Informação
LGPD e Segurança da Informação
 
LGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpdLGPD - 2020.06.03 lgpd
LGPD - 2020.06.03 lgpd
 
RGPD em menos de 3 minutos
RGPD em menos de 3 minutosRGPD em menos de 3 minutos
RGPD em menos de 3 minutos
 
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
GDPR & LGPDP - O que são e como isso irá afetar o Setor da TI no Brasil e no ...
 
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
 
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario ViolaWorkshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
 
LGPD - Impactos para corretores de seguros
LGPD - Impactos para corretores de segurosLGPD - Impactos para corretores de seguros
LGPD - Impactos para corretores de seguros
 
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
 
EXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdfEXIN Privacy, Data e Protection.pdf
EXIN Privacy, Data e Protection.pdf
 
apresentacao_webinar_rgpd_202204.pdf
apresentacao_webinar_rgpd_202204.pdfapresentacao_webinar_rgpd_202204.pdf
apresentacao_webinar_rgpd_202204.pdf
 
Workshop RGPD | CFIUTE - 24 maio 2018
Workshop RGPD | CFIUTE - 24 maio 2018Workshop RGPD | CFIUTE - 24 maio 2018
Workshop RGPD | CFIUTE - 24 maio 2018
 
Guia.RGPD_.pdf
Guia.RGPD_.pdfGuia.RGPD_.pdf
Guia.RGPD_.pdf
 
Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...
 
boas-praticas-ii.pdf
boas-praticas-ii.pdfboas-praticas-ii.pdf
boas-praticas-ii.pdf
 
Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli
Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli  Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli
Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli
 
Introdução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneIntrodução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation One
 
Palestra lgpd tdc floripa
Palestra lgpd   tdc floripaPalestra lgpd   tdc floripa
Palestra lgpd tdc floripa
 
LGPDY - Lei Geral de proteção de dados
LGPDY - Lei Geral de proteção de dadosLGPDY - Lei Geral de proteção de dados
LGPDY - Lei Geral de proteção de dados
 
RGPD - Testemunho do Mundo Real
RGPD - Testemunho do Mundo RealRGPD - Testemunho do Mundo Real
RGPD - Testemunho do Mundo Real
 

Mais de Ricardo Marques

201601 Apresentacao_Quid_Institucional
201601 Apresentacao_Quid_Institucional201601 Apresentacao_Quid_Institucional
201601 Apresentacao_Quid_InstitucionalRicardo Marques
 
Replacing obsolete ERP software systems with Genio
Replacing obsolete ERP software systems with GenioReplacing obsolete ERP software systems with Genio
Replacing obsolete ERP software systems with GenioRicardo Marques
 
Soluções UNIT4 Agresso para ONG - Organizações Não-Governamentais
Soluções UNIT4 Agresso para ONG - Organizações Não-GovernamentaisSoluções UNIT4 Agresso para ONG - Organizações Não-Governamentais
Soluções UNIT4 Agresso para ONG - Organizações Não-GovernamentaisRicardo Marques
 
201503 imagine gestão do ensino
201503 imagine gestão do ensino201503 imagine gestão do ensino
201503 imagine gestão do ensinoRicardo Marques
 
Experience zone modeller experience pack a2 z v1.0
Experience zone   modeller experience pack a2 z v1.0Experience zone   modeller experience pack a2 z v1.0
Experience zone modeller experience pack a2 z v1.0Ricardo Marques
 
Gestão Património e Imóveis 2012
Gestão Património e Imóveis 2012Gestão Património e Imóveis 2012
Gestão Património e Imóveis 2012Ricardo Marques
 
Newsletter UNIT4 Portugal 09
Newsletter UNIT4 Portugal 09Newsletter UNIT4 Portugal 09
Newsletter UNIT4 Portugal 09Ricardo Marques
 
Programa Conferência Legal Services (Lisboa 2011)
Programa Conferência Legal Services (Lisboa 2011)Programa Conferência Legal Services (Lisboa 2011)
Programa Conferência Legal Services (Lisboa 2011)Ricardo Marques
 
Unit 4 Agresso Portugal 2009
Unit 4 Agresso Portugal 2009Unit 4 Agresso Portugal 2009
Unit 4 Agresso Portugal 2009Ricardo Marques
 

Mais de Ricardo Marques (9)

201601 Apresentacao_Quid_Institucional
201601 Apresentacao_Quid_Institucional201601 Apresentacao_Quid_Institucional
201601 Apresentacao_Quid_Institucional
 
Replacing obsolete ERP software systems with Genio
Replacing obsolete ERP software systems with GenioReplacing obsolete ERP software systems with Genio
Replacing obsolete ERP software systems with Genio
 
Soluções UNIT4 Agresso para ONG - Organizações Não-Governamentais
Soluções UNIT4 Agresso para ONG - Organizações Não-GovernamentaisSoluções UNIT4 Agresso para ONG - Organizações Não-Governamentais
Soluções UNIT4 Agresso para ONG - Organizações Não-Governamentais
 
201503 imagine gestão do ensino
201503 imagine gestão do ensino201503 imagine gestão do ensino
201503 imagine gestão do ensino
 
Experience zone modeller experience pack a2 z v1.0
Experience zone   modeller experience pack a2 z v1.0Experience zone   modeller experience pack a2 z v1.0
Experience zone modeller experience pack a2 z v1.0
 
Gestão Património e Imóveis 2012
Gestão Património e Imóveis 2012Gestão Património e Imóveis 2012
Gestão Património e Imóveis 2012
 
Newsletter UNIT4 Portugal 09
Newsletter UNIT4 Portugal 09Newsletter UNIT4 Portugal 09
Newsletter UNIT4 Portugal 09
 
Programa Conferência Legal Services (Lisboa 2011)
Programa Conferência Legal Services (Lisboa 2011)Programa Conferência Legal Services (Lisboa 2011)
Programa Conferência Legal Services (Lisboa 2011)
 
Unit 4 Agresso Portugal 2009
Unit 4 Agresso Portugal 2009Unit 4 Agresso Portugal 2009
Unit 4 Agresso Portugal 2009
 

201711 abordagem rgpd

  • 1. Regulamento Geral Proteção de Dados (EU) 2016/679 Projeto de avaliação e adaptação ao RGPD Ricardo Marques linkedin.com/in/ricardmarques
  • 2. INTRODUÇÃO • Modelo para implementação RGPD – General Data Protection Regulation - (EU) 2016/679 Publicado no dia 4 de maio de 2016, o RGPD – Regulamento Geral de Proteção de Dados vem obrigar à implementação de regras dentro de empresas e entidades públicas. Este regulamento, que visa garantir a privacidade dos dados dos cidadãos da União Europeia é um documento complexo e de obrigatoriedade legal a partir de 25 de maio de 2018. • Objectivo RGPD: aplicar o regulamento legal de Protecção de Dados único na UE – O Regulamento não necessita de mais legislação ou autorizações pelos governos nacionais para futura aplicação e vinculação em cada Estado-membro. – Pretende simplificação e unificação do ambiente regulamentar na Economia / Negócio internacional • RGPD vem alterar o modelo como as organizações têm de gerir as suas pessoas, políticas, processos e tecnologias.
  • 3. BENEFÍCIOS DA CONFORMIDADE COM O RGPD • Cumprir a lei e estar preparado para o novo Regulamento, limitando os riscos de perda de dados e evitar a aplicação de coimas; • Ganhar a confiança dos seus clientes; • Segurança e confiança no uso das novas tecnologias pelos seus colaboradores e clientes; • Proteger a imagem e a reputação da sua empresa; • Aumentar o valor real perante o Mercado!
  • 4. DADOS PESSOAIS O que são Dados Pessoais Qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável (”titular dos dados”); – é considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um identificador como o nome, número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, mental, económica, cultural ou social.
  • 5. OS PRINCIPIOS DO RGPD Princípios relativos ao tratamento – agora são 6 + 1 1. «licitude, lealdade e transparência» 2. Recolhidos para finalidades determinadas, explícitas e legítimas ...«limitação das finalidades» 3. Adequados, pertinentes e limitados ...«minimização dos dados» 4. Exatos e atualizados sempre que necessário... «exatidão» 5. Conservados ... apenas durante o período necessário...«limitação da conservação» 6. Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra... a sua perda, destruição ou danificação, ... «integridade e confidencialidade» 7. O responsável pelo tratamento de dados é... «responsabilidade»
  • 6. DIREITOS DO TITULAR DOS DADOS Direitos do titular de dados 1. Transparência das informações… de forma concisa, transparente, inteligível e de fácil acesso…  Respostas ao exercício dos direitos dos titulares… no prazo de 1 mês 2. Direito de acesso 3. Direito de retificação 4. Direito ao apagamento dos dados «direito a ser esquecido» 5. Direito à limitação do tratamento  Obrigação de notificação da retificação, apagamento ou limitação do tratamento 6. Direito da portabilidade dos dados 7. Direito de oposição … a qualquer momento, … incluindo definição de perfis … ou para efeitos de comercialização direta … (Marketing???) 8. Direito de oposição a “Decisões individuais automatizadas, incluindo definição de perfis – “profiling” 9. Alargado as regras de “Informações a facultar na recolha de dados junto do titular”  Art 13 - …obrigação de prestar as seguintes informações: P1. alíneas a) – f) e P2. a) – f
  • 7. OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO Aplica as medidas técnicas e organizativas que forem adequadas para assegurar e comprovar a conformidade do tratamento com o regulamento Aplicação de políticas em matéria de proteção de dados Cumprimento de códigos de conduta … Proteção de dados desde a conceção e por defeito Responsabilidade conjunta de responsáveis do tratamento Subcontratante – regulado por contrato que vincula ao responsável do tratamento de acordo com obrigações regulamentadas por escrito, a) – h)
  • 8. PROTEÇÃO DE DADOS DESDE A CONCEÇÃO E POR DEFEITO • Art25 -Privacy byDesignandbyDefault Proteção desde a definição dos meios de tratamento Privacy by Default – apenas os dados pessoais necessários Pseudonimização Minimização de Dados
  • 9. OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO Artigo 30º Registos das atividades de tratamento Artigo 31º Cooperação com a autoridade de controlo Artigo 32º Segurança do tratamento Artigo 33º Notificação de uma violação de dados pessoais à autoridade de controlo Artigo 34.o Comunicação de uma violação de dados pessoais ao titular dos dados Artigo 35º Avaliação de impacto sobre a proteção de dados
  • 10. SEGURANÇA DOS DADOS PESSOAIS • Art32 -Segurança dotratamento …o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado: pseudonimização e a cifragem dos dados pessoais capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento Disponibilidade e resiliência Auditorias interna e/ou externa BCR Plano de Recuperação e Continuidade
  • 11. CONDIÇÕES GERAIS PARA A APLICAÇÃO DE COIMAS • Art 83º Condições gerais para a aplicação de coimas 4. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o nº 2, a coimas até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado: •Art 8 Condições aplicáveis ao consentimento de crianças… •Art 11º Tratamento que não exige identificação •Art 25º Proteção de dados desde a conceção e por defeito •Art 26º Responsáveis conjuntos pelo tratamento •Art 28º Subcontratante – “Processor” •Art 30º Registos das atividades de tratamento •Art 31º Cooperação com a autoridade de controlo •Art 32º Segurança do tratamento •Art 33º Notificação de violação de dados pessoais à autoridade de controlo e Art 34º … ao titular dos dados •Art 35º Avaliação de impacto sobre a proteção de dados “PDIA” •Art 37º Designação do encarregado da proteção de dados (38º e 39º Funções) a) As obrigações do responsável pelo tratamento e do subcontratante nos termos dos artigos 8º, 11º, 25º a 39º e 42º e 43º; •Art 42º Certificação … para efeitos de comprovação da conformidade das operações de tratamento •Art 43º Organismos de certificação b) As obrigações do organismo de certificação nos termos dos artigos 42º e 43º; •Art 40º Códigos de conduta •Art 41º … em caso de violações do código por um responsável pelo tratamento ou por um subcontratante… c) As obrigações do organismo de supervisão nos termos do artigo 41º, n 4; Art 41º
  • 12. CONDIÇÕES GERAIS PARA A APLICAÇÃO DE COIMAS • Art 83º Condições gerais para a aplicação de coimas 5. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o nº 2, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado: a) Os princípios básicos do tratamento, incluindo as condições de consentimento, nos termos dos artigos 5º, 6º, 7º e 9º; • Art 5 Princípios relativos ao tratamento de dados pessoais • Art 6 Licitude do tratamento • Art 7 Condições aplicáveis ao consentimento • Art 9 Tratamento de categorias especiais de dados pessoais b) Os direitos dos titulares dos dados nos termos dos artigos 12º a 22º; • Art 12 a 22 Direitos do titular dos dados Transparência das informações, das comunicações e das regras …, Informação e acesso aos dados pessoais , Retificação e apagamento , Direito à limitação do tratamento, Direito de portabilidade dos dados , Direito de oposição e decisões individuais automatizadas c) As transferências de dados pessoais para um destinatário num país terceiro ou uma organização internacional nos termos dos artigos 44º a 49º; Transferências de dados pessoais para países terceiros ou organizações internacionais d) As obrigações nos termos do direito do Estado- Membro adotado ao abrigo do capítulo IX; Disposições relativas a situações específicas de tratamento (Art 85º a 91º) e) O incumprimento de uma ordem de limitação, temporária ou definitiva, relativa ao tratamento ou à suspensão de fluxos de dados, emitida pela autoridade de controlo nos termos do artigo 58º, nº 2, ou o facto de não facultar acesso, em violação do artigo 58º, nº 1. Autoridades de controlo independentes Artº 47 Poderes
  • 13. IMPACTO ECONÓMICO DA PROTEÇÃO DE DADOS
  • 14. PORQUÊ - CUSTO DE PERDA / ROUBO DE DADOS PESSOAIS Quais as implicações e o potencial impacto da perda ou roubo de Dados Pessoais no actual mundo dos negócios? • $3.62 Milhões: é o custo total médio de um “data breach” para as 419 empresas participantes deste estudo - com uma média de 24.089 registos perdidos ou roubados. • $141: O custo médio para cada Dado pessoal perdido ou roubado contendo informação sensível ou confidencial diminuiu para $141. Custo por registo mais elevado: Saúde $380, Financeiro $245 e Serviços $223. • 1 em 4: O estudo permite estimar uma probabilidade de 27.7% que cada organização participante do estudo terá pelo menos um evento de “data breach” nos próximos 24 meses. Source: 2017 Cost of Data Breach Study: Global Overview – Ponemon Institute June 2017 https://www.ibm.com/security/infographics/data-breach/ Análise envolveu 419 empresas de 17 Indústrias – Saúde, Finanças, Tecnologia, Serviços, ...
  • 15. O QUE ESTÁ EM JOGO Exemplos de incidentes de Privacidade e Roubo de dados • HCA International Ltd (UK) – Dados pessoais – Coima 200.000 £ • London’s Royal Free hospital (UK) – Dados de 1.6 milhões pacientes – Revisão e supervisão de processo • Nottinghamshire County Council – Dados pessoais de 3.000 utentes – Coima 70.000 £ • Greater Manchester Police – Dados pessoais (3 vítimas abusos) – Coima 150.000 £
  • 16. O QUE ESTÁ EM JOGO Saúde http://www.healthcareitnews.com/slideshow/biggest-healthcare- breaches-2017-so-far?page=1 • Mid-Michigan Physicians Imaging Center: • Dados pessoais e saúde de 106.000 pacientes. Coima de $475,000 USD • St. Mark’s Surgery Center – dados pessoais e médicos de 34.000 pacientes. Coima de $475,000 USD • Pacific Alliance Medical Center – Dados pessoais e saúde de 266K • …
  • 17. ORGANIZAÇÃO FUNCIONAL SEGUNDO O RGPD European Data Protection Board Autoridade de Controlo (art 51) Data Controller (Resp. Tratamento) Supervisão e Avaliação da execução Data Processor (Subcontratantes) Países … Tratamento transfronteiriço Garantias ? Partilha e Segurança Data Subject (Titular dos Dados) Terceiros Divulgação ? DPO TI Legal Business Unit Obrigações Direitos Autoridade de Controlo interessada
  • 18. QUEM DEVE PARTICIPAR? Responsáveis e Entidades a envolver: Board of Directors CEO HR Employees/Staff IT Employees/Staff Legal Employees/Staff Quality Manager (generic/line) Employees/Staff Chief Information Security Officer (CISO) Data Protection Officer Objectivos e orientação Operação e Conformidade
  • 19. METODOLOGIA – ABORDAGEM CORRETA AO RGPD
  • 20. METODOLOGIAS – ABORDAGEM CNIL CNIL Metodologia em 6 passos 1. Assignar a equipa e DPO • Nomear uma equipa responsável pela avaliação e implementação de medidas 2. Inventário - Cartografar e referenciar os tratamentos de Dados pessoais • Identificar em detalhe o registo e tratamento de Dados pessoais – manter um registo atualizado de atividades envolvendo tratamento de dados pessoais 3. Priorizar ações - face aos riscos • Definir prioridades para implementar medidas de conformidade ao RGPD e avaliação de riscos 4. Gestão de riscos • Tratamento de maior risco, conduzir PIA / DPIA e assegurar conformidade ( CNIL’s 2015 PIA guide) 5. Organizar os processos internos • Avaliar e implementar processos internos para garantir a proteção e privacidade dos dados e as obrigações de notificação conforme RGPD – Formação e awareness, Pedidos DSAR, Processo de Notificações, ... 6. Documentar e manter evidências - • Organizar e manter atualizada a documentação e as evidências da conformidade aos princípios do RGPD. https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection- des-donnees https://www.huntonprivacyblog.com/2017/03/17/cnil-publishes-six-step-methodology- tools-prepare-gdpr/
  • 21. METODOLOGIAS – ABORDAGEM ICO 1. Accountability and governance • Nomear uma equipa responsável pela avaliação e implementação de medidas • Definição de política geral de proteção e privacidade de Dado 2. Awareness – definir plano de comunicação e formação interna sobre as alterações do RGPD 3. Informatiom you hold - Key areas to consider • Identificar base legal do registo e tratamento de Dados pessoais , Consentimento, Menores,… • Auditoria de informação relativo a dados registados e respetivo tratamento 4. Communicating privacy information 5. Individuals' rights • Comunicar direitos de privacidade • Avaliar e rever tratamento dos Direitos dos titulares, gestão de pedidos, • Preparar e realizar PIA / DPIA 6. Breach notification • Processos de notificação em situação de falhas de privacidade 7. Transfer of data • Processos de transferência de dados, subscontratados e/ou internacionais 8. Documentar e manter evidências - • Organizar e manter atualizada a documentação e as evidências da conformidade aos princípios do RGPD.
  • 22. METODOLOGIAS – ABORDAGEM CNPD 1. Informação aos titulares dos dados • Reformular impressos, políticas de privacidade e todos os textos que prestem informação aos titulares dos dados 2. Exercício dos direitos dos titulares dos dados • Rever procedimentos internos de garantia do exercício dos direitos dos titulares dos dados, , em especial aos prazos máximos de resposta. 3. Consentimento dos titulares dos dados • Rever a forma e circunstâncias em que foi obtido o consentimento dos titulares. 4. Dados sensíveis • Avaliar condições para o seu tratamento, relativas à licitude do tratamento, aos direitos ou às decisões automatizadas. 5. Documentação e Registo de atividades de tratamento • Documentar de forma detalhada todas as atividades relacionadas com o tratamento de dados pessoais, quer os responsáveis do tratamento quer as sub-contratadas. 6. Contratos de subcontratação • RGPD veio especificar o conteúdo dos contratos de subcontratação, impondo a introdução de um vasto conjunto de informações 7. Encarregado de proteção de dados 8. Medidas técnicas e organizativas e segurança do tratamento 9. Proteção de dados desde a conceção e avaliação de impacto 10. Notificação de violações de segurança • Procedimentos internos e ao nível da subcontrata- ção, se for o caso, para lidar com casos de violações de dados pessoais, designadamente na deteção, identificação e investigação das circunstâncias, medidas mitigadoras,... https://www.cnpd.pt/bin/rgpd/10_Medidas_para_preparar_RGPD_CNPD.pdf
  • 23. NOSSA ABORDAGEM - METODOLOGIA PDCA •Implementação e Transformação •Manutenção e adaptação a novas alterações •Avaliação, Inventariação e Diagnóstico •Assessment - Controlo e melhoria contínua Act Plan DoCheck
  • 24. ABORDAGEM AO PROJETO ASSESSMENT Identificação das principais Obrigações e Requisitos de conformidade ao RGPD Análise de Riscos de incorformidade: Legal – Assessment Jurídico ; TI – Assessment tecnológico: Descoberta e Inventário; Segurança – Assessment Descoberta e Inventário – Sistemas, Dados, Fluxos e Transferências Execução de análise de Impacto (Princípio do DPIA – Data Protection Impact Analysis) Identificação de Gap Analysis: Processo de Gestão da Segurança; Politica de Acessos; Sistemas de Proteção Recomendações Jurídico - Legal Processos e Tecnologia Segurança
  • 25. OBJETIVOS DO PROJETO – VISÃO DOS DESAFIOS E SOLUÇÃO PROPOSTA Desafios Serviços Descrição dos Serviços Avaliar o grau de conformidade das diferentes áreas da Organização com o RGPD GDPR gap analysis Realizar e entregar uma Avaliação detalhada, evidenciando o atual estado da Organização relativamente ao RGPD, e um plano de atividades e recomendações para endereçar os gaps e os respetivos riscos. Avaliar a situação atual relativa aos Dados pessoais na Organização – Quais, Quem, Onde, e Como são mantidos os Dados. GDPR data flow audit Realizar e entregar um inventário de categorias de Dados Pessoais recolhidos, processados e guardados pela Organização e, respetivo mapeamento dos processos com fluxos de dados. Avaliar os riscos relativos ao RGPD da introdução de novos processos e sistemas de informação. Data protection impact assessment (DPIA) Realizar e entregar uma avaliação dos riscos da proteção de dados pessoais associados aos principais processos ou sistemas de dados pessoais e o respetivo plano de mitigação de riscos. Avaliar a qualidade das políticas e guidelines de segurança da informação no âmbito da RGPD Security check Análise de principais ameaças e vulnerabilidades. Plano de resposta a incidentes e Recomendações Avaliar e recomendar um plano de atividades para o projeto de conformidade ao RGPD. Serviços de transição e preparação para o RGPD Realizar e recomendar um plano de projeto para uma transição para o RGPD, que deve incluir: 1.Política global de Proteção de Dados 2.Políticas, processos e procedimentos gerais 3.Política global de Segurança da informação 4.Gestão de Incidentes 5.Política de Transferência de dados com Terceiros 6.Documentação obrigatória de “compliance” Avaliar plano de comunicação, de formação e “awareness” aos gestores e colaboradores chave sobre o RGPD. Formação de RGPD – awareness Realizar e recomendar plano de comunicações orientado a todos os colaboradores da Organização. Realizar sessões de “Awareness” de introdução sobre princípios e responsabilidades fundamentais definidos no RGPD.
  • 26. ABORDAGEM – AVALIAÇÃO SISTEMAS TI & SEGURANÇA 1. Inventário 2. Captura / Utilização / Partinha 3. Políticas de TI e Segurança - 4. Arquivo e Retenção 5. Segurança TI e Operações 6. Data Security 7. Deteção “Data Breach”, Resposta e Reporting 8. Apagar e Destruir
  • 27. AVALIAÇÃO DE SEGURANÇA - SECURITY CHECK 1ª Fase - Levantamento • Avaliar a qualidade das políticas e guidelines de segurança da informação no âmbito da RGPD e plano de resposta a incidentes. 2ª Fase – Avaliação • Análise de ameaças e vulnerabilidades • Teste de intrusão (pentesting) automático e manual. • Categorização das vulnerabilidades de web apps com OWASP Top10. • Criação de POC (proof-of-concept) de vulnerabilidades encontradas para replicação pelos desenvolvedores. • Plano de resposta a incidentes e relatório com recomendações Nota: dependendo do scope a definir, a análise pode incidir sobre web apps, apps móveis, servidores, rede wi-fi, IOT, e outras áreas da fundação, clínica e centro de investigação. Exclui o solucionamento das vulnerabilidades, sendo o processo Analisar-Testar-Informar. 3ª Fase – Implementação • Workshop com staff para awareness de segurança na óptica do utilizador com foco em “social engineering”, “malware” e “phishing”. 4ª Fase – Validação (estimado 3 a 6 meses após entrega das recomendações) • Auditoria de validação das implementações recomendadas.
  • 28. ÁREAS DE GESTÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS Uma visão do âmbito dos possíveis fluxos de trabalho, avaliação e resultados “deliverables” do projeto. Políticas de Governance Inventário e Fluxos de dados Políticas de Segurança e Privacidade Operações Formação e informação Gestão de Risco Gestão de Terceiros e Subcontratados Processos de Notificações Gestão de Pedidos e e Reclamações Monitorização e avaliação geral Gestão de Quebra e Perda de dados Entidades de Supervisão, Auditorias e Compliance externa Visão de estado de Tarefas e Resultados: Verde - on track, Cinza - em standby, Laranja – em risco de atraso, Vermelho – em atraso confirmado.
  • 29. REGISTOS DAS ATIVIDADES DE TRATAMENTO (ART 30)
  • 30. PLATAFORMA DE GESTÃO DE SERVIÇOS • Gestão de serviços definidos pelo RGPD Container Deployment Foundation Physical Virtual Cloud Applications InfrastructureServices Configuration management | Automated service modeling Processes Asset management Portal de serviços Automation Big Data Analytics Container Documentos, Processos e fluxos de dados definidos na plataforma de gestão de serviços:  Portal do titular de dados  Política geral de proteção de dados pessoais  Política geral de Segurança de informação e dados  Política de proteção de dados de colaboradores  Registo de notificações  Responsável de Proteção de Dados Descrição de função  Procedimento de Inventário de atividades de processamento de dados  Inventário de atividades de processamento de dados  Formulário de consentimento de titular para finalidade específica  Formulário para retirada de consentimento  Procedimentos de pedidos de acesso  Metodologia de DPIA Data Protection Impact Assessment  Registo de DPIA  Clausulas contratuais standard  Questionário de conformidade RGPD para subcontratados  Acordo de subcontratação associado a processamento de dados  muitos mais ….