Este documento fornece uma introdução ao Regulamento Geral de Proteção de Dados da UE e apresenta uma metodologia de seis etapas para avaliar e implementar as exigências do RGPD. [FIM]

1. Regulamento Geral Proteção de Dados (EU) 2016/679
Projeto de avaliação e adaptação ao
RGPD
Ricardo Marques
linkedin.com/in/ricardmarques

2. INTRODUÇÃO
• Modelo para implementação RGPD – General Data
Protection Regulation - (EU) 2016/679
Publicado no dia 4 de maio de 2016, o RGPD – Regulamento Geral de Proteção de
Dados vem obrigar à implementação de regras dentro de empresas e entidades
públicas. Este regulamento, que visa garantir a privacidade dos dados dos cidadãos
da União Europeia é um documento complexo e de obrigatoriedade legal a partir de
25 de maio de 2018.
• Objectivo RGPD: aplicar o regulamento legal de Protecção de Dados
único na UE
– O Regulamento não necessita de mais legislação ou autorizações
pelos governos nacionais para futura aplicação e vinculação em
cada Estado-membro.
– Pretende simplificação e unificação do ambiente regulamentar
na Economia / Negócio internacional
• RGPD vem alterar o modelo como as organizações têm de gerir as
suas pessoas, políticas, processos e tecnologias.

3. BENEFÍCIOS DA CONFORMIDADE COM O RGPD
• Cumprir a lei e estar preparado para o novo
Regulamento, limitando os riscos de perda de
dados e evitar a aplicação de coimas;
• Ganhar a confiança dos seus clientes;
• Segurança e confiança no uso das novas
tecnologias pelos seus colaboradores e clientes;
• Proteger a imagem e a reputação da sua
empresa;
• Aumentar o valor real perante o Mercado!

4. DADOS PESSOAIS
O que são Dados Pessoais
Qualquer informação, de qualquer natureza e
independentemente do respetivo suporte, incluindo som e
imagem, relativa a uma pessoa singular identificada ou
identificável (”titular dos dados”);
– é considerada identificável a pessoa que possa ser
identificada direta ou indiretamente, designadamente por
referência a um identificador como o nome, número de
identificação ou a um ou mais elementos específicos da
sua identidade física, fisiológica, mental, económica,
cultural ou social.

5. OS PRINCIPIOS DO RGPD
Princípios relativos ao tratamento – agora são 6 + 1
1. «licitude, lealdade e transparência»
2. Recolhidos para finalidades determinadas, explícitas e legítimas
...«limitação das finalidades»
3. Adequados, pertinentes e limitados ...«minimização dos dados»
4. Exatos e atualizados sempre que necessário... «exatidão»
5. Conservados ... apenas durante o período necessário...«limitação
da conservação»
6. Tratados de uma forma que garanta a sua segurança, incluindo a
proteção contra... a sua perda, destruição ou danificação, ...
«integridade e confidencialidade»
7. O responsável pelo tratamento de dados é... «responsabilidade»

6. DIREITOS DO TITULAR DOS DADOS
Direitos do titular de dados
1. Transparência das informações… de forma concisa, transparente, inteligível e
de fácil acesso…
 Respostas ao exercício dos direitos dos titulares… no prazo de 1 mês
2. Direito de acesso
3. Direito de retificação
4. Direito ao apagamento dos dados «direito a ser esquecido»
5. Direito à limitação do tratamento
 Obrigação de notificação da retificação, apagamento ou limitação do tratamento
6. Direito da portabilidade dos dados
7. Direito de oposição … a qualquer momento, … incluindo definição de perfis …
ou para efeitos de comercialização direta … (Marketing???)
8. Direito de oposição a “Decisões individuais automatizadas, incluindo
definição de perfis – “profiling”
9. Alargado as regras de “Informações a facultar na recolha de dados junto do
titular”
 Art 13 - …obrigação de prestar as seguintes informações: P1. alíneas a) – f) e P2. a) – f

7. OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO
Aplica as medidas técnicas e organizativas que forem adequadas para
assegurar e comprovar a conformidade do tratamento com o regulamento
Aplicação de políticas em matéria de proteção de dados
Cumprimento de códigos de conduta …
Proteção de dados desde a conceção e por defeito
Responsabilidade conjunta de responsáveis do tratamento
Subcontratante – regulado por contrato que vincula ao responsável do
tratamento de acordo com obrigações regulamentadas por escrito, a) – h)

8. PROTEÇÃO DE DADOS DESDE A CONCEÇÃO E POR DEFEITO
• Art25 -Privacy byDesignandbyDefault
Proteção desde a
definição dos meios
de tratamento
Privacy by Default –
apenas os dados
pessoais
necessários
Pseudonimização
Minimização de
Dados

9. OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO
Artigo 30º Registos das atividades de tratamento
Artigo 31º Cooperação com a autoridade de controlo
Artigo 32º Segurança do tratamento
Artigo 33º Notificação de uma violação de dados pessoais à
autoridade de controlo
Artigo 34.o Comunicação de uma violação de dados pessoais ao
titular dos dados
Artigo 35º Avaliação de impacto sobre a proteção de dados

10. SEGURANÇA DOS DADOS PESSOAIS
• Art32 -Segurança dotratamento
…o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas
para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:
pseudonimização e a
cifragem dos dados
pessoais
capacidade de assegurar a
confidencialidade,
integridade, disponibilidade
e resiliência permanentes
dos sistemas e dos serviços
de tratamento
capacidade de restabelecer
a disponibilidade e o acesso
aos dados pessoais de
forma atempada no caso de
um incidente físico ou
técnico
processo para testar,
apreciar e avaliar
regularmente a eficácia das
medidas técnicas e
organizativas para garantir a
segurança do tratamento
Disponibilidade
e resiliência
Auditorias
interna e/ou
externa
BCR Plano de
Recuperação e
Continuidade

11. CONDIÇÕES GERAIS PARA A APLICAÇÃO DE COIMAS
• Art 83º Condições gerais para a aplicação de coimas
4. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o nº 2, a coimas
até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível
mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais
elevado:
•Art 8 Condições aplicáveis ao consentimento de crianças…
•Art 11º Tratamento que não exige identificação
•Art 25º Proteção de dados desde a conceção e por defeito
•Art 26º Responsáveis conjuntos pelo tratamento
•Art 28º Subcontratante – “Processor”
•Art 30º Registos das atividades de tratamento
•Art 31º Cooperação com a autoridade de controlo
•Art 32º Segurança do tratamento
•Art 33º Notificação de violação de dados pessoais à autoridade de
controlo e Art 34º … ao titular dos dados
•Art 35º Avaliação de impacto sobre a proteção de dados “PDIA”
•Art 37º Designação do encarregado da proteção de dados (38º e 39º
Funções)
a) As obrigações do responsável pelo
tratamento e do subcontratante nos termos
dos artigos 8º, 11º, 25º a 39º e 42º e 43º;
•Art 42º Certificação … para efeitos de comprovação da conformidade das operações
de tratamento
•Art 43º Organismos de certificação
b) As obrigações do organismo de certificação
nos termos dos artigos 42º e 43º;
•Art 40º Códigos de conduta
•Art 41º … em caso de violações do código por um responsável pelo tratamento ou por
um subcontratante…
c) As obrigações do organismo de supervisão nos
termos do artigo 41º, n 4; Art 41º

12. CONDIÇÕES GERAIS PARA A APLICAÇÃO DE COIMAS
• Art 83º Condições gerais para a aplicação de coimas
5. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o nº 2, a coimas
até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível
mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais
elevado:
a) Os princípios básicos do tratamento, incluindo as
condições de consentimento, nos termos dos artigos
5º, 6º, 7º e 9º;
• Art 5 Princípios relativos ao tratamento de
dados pessoais
• Art 6 Licitude do tratamento
• Art 7 Condições aplicáveis ao consentimento
• Art 9 Tratamento de categorias especiais de
dados pessoais
b) Os direitos dos titulares dos dados nos termos dos
artigos 12º a 22º;
• Art 12 a 22 Direitos do titular dos dados
Transparência das informações, das comunicações e
das regras …, Informação e acesso aos dados
pessoais , Retificação e apagamento , Direito à
limitação do tratamento, Direito de portabilidade
dos dados , Direito de oposição e decisões
individuais automatizadas
c) As transferências de dados pessoais para um
destinatário num país terceiro ou uma organização
internacional nos termos dos artigos 44º a 49º;
Transferências de dados pessoais para países
terceiros ou organizações internacionais
d) As obrigações nos termos do direito do Estado-
Membro adotado ao abrigo do capítulo IX;
Disposições relativas a situações específicas de
tratamento (Art 85º a 91º)
e) O incumprimento de uma ordem de limitação,
temporária ou definitiva, relativa ao tratamento ou à
suspensão de fluxos de dados, emitida pela
autoridade de controlo nos termos do artigo 58º, nº 2,
ou o facto de não facultar acesso, em violação do
artigo 58º, nº 1.
Autoridades de controlo independentes
Artº 47 Poderes

13. IMPACTO ECONÓMICO DA PROTEÇÃO DE DADOS

14. PORQUÊ - CUSTO DE PERDA / ROUBO DE DADOS PESSOAIS
Quais as implicações e o potencial impacto da perda ou roubo de Dados
Pessoais no actual mundo dos negócios?
• $3.62 Milhões: é o custo total médio de um “data breach” para as 419
empresas participantes deste estudo - com uma média de 24.089 registos
perdidos ou roubados.
• $141: O custo médio para cada Dado pessoal perdido ou roubado
contendo informação sensível ou confidencial diminuiu para $141. Custo
por registo mais elevado: Saúde $380, Financeiro $245 e Serviços $223.
• 1 em 4: O estudo permite estimar uma probabilidade de 27.7% que cada
organização participante do estudo terá pelo menos um evento de “data
breach” nos próximos 24 meses.
Source: 2017 Cost of Data Breach Study: Global Overview – Ponemon Institute June 2017
https://www.ibm.com/security/infographics/data-breach/
Análise envolveu 419 empresas de 17 Indústrias – Saúde, Finanças, Tecnologia, Serviços, ...

15. O QUE ESTÁ EM JOGO
Exemplos de incidentes de Privacidade e Roubo de dados
• HCA International Ltd (UK)
– Dados pessoais
– Coima 200.000 £
• London’s Royal Free hospital (UK)
– Dados de 1.6 milhões pacientes
– Revisão e supervisão de processo
• Nottinghamshire County Council
– Dados pessoais de 3.000 utentes
– Coima 70.000 £
• Greater Manchester Police
– Dados pessoais (3 vítimas abusos)
– Coima 150.000 £

16. O QUE ESTÁ EM JOGO
Saúde
http://www.healthcareitnews.com/slideshow/biggest-healthcare-
breaches-2017-so-far?page=1
• Mid-Michigan Physicians Imaging
Center:
• Dados pessoais e saúde de 106.000
pacientes. Coima de $475,000 USD
• St. Mark’s Surgery Center
– dados pessoais e médicos de 34.000
pacientes. Coima de $475,000 USD
• Pacific Alliance Medical Center
– Dados pessoais e saúde de 266K
• …

17. ORGANIZAÇÃO FUNCIONAL SEGUNDO O RGPD
European Data Protection Board
Autoridade de Controlo
(art 51)
Data Controller
(Resp. Tratamento)
Supervisão e Avaliação da execução
Data Processor
(Subcontratantes)
Países … Tratamento
transfronteiriço Garantias ?
Partilha e
Segurança
Data Subject
(Titular dos Dados)
Terceiros
Divulgação ?
DPO
TI
Legal
Business Unit
Obrigações
Direitos
Autoridade de Controlo
interessada

18. QUEM DEVE PARTICIPAR?
Responsáveis e Entidades a envolver:
Board of Directors
CEO
HR Employees/Staff
IT Employees/Staff
Legal Employees/Staff
Quality
Manager (generic/line) Employees/Staff
Chief Information
Security Officer (CISO)
Data Protection Officer
Objectivos e orientação
Operação e Conformidade

19. METODOLOGIA – ABORDAGEM CORRETA AO RGPD

20. METODOLOGIAS – ABORDAGEM CNIL
CNIL Metodologia em 6 passos
1. Assignar a equipa e DPO
• Nomear uma equipa responsável pela
avaliação e implementação de medidas
2. Inventário - Cartografar e referenciar os tratamentos
de Dados pessoais
• Identificar em detalhe o registo
e tratamento de Dados pessoais –
manter um registo atualizado de atividades
envolvendo tratamento de dados pessoais
3. Priorizar ações - face aos riscos
• Definir prioridades para
implementar medidas de conformidade ao
RGPD e avaliação de riscos
4. Gestão de riscos
• Tratamento de maior risco, conduzir PIA /
DPIA e assegurar conformidade ( CNIL’s 2015
PIA guide)
5. Organizar os processos internos
• Avaliar e implementar processos
internos para garantir a proteção e
privacidade dos dados e as obrigações de
notificação conforme RGPD – Formação e
awareness, Pedidos DSAR, Processo
de Notificações, ...
6. Documentar e manter evidências -
• Organizar e manter atualizada a
documentação e as evidências da
conformidade aos princípios do RGPD.
https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-
des-donnees
https://www.huntonprivacyblog.com/2017/03/17/cnil-publishes-six-step-methodology-
tools-prepare-gdpr/

21. METODOLOGIAS – ABORDAGEM ICO
1. Accountability and governance
• Nomear uma equipa responsável pela
avaliação e implementação de medidas
• Definição de política geral de proteção e
privacidade de Dado
2. Awareness – definir plano de comunicação e formação
interna sobre as alterações do RGPD
3. Informatiom you hold - Key areas to consider
• Identificar base legal do registo e tratamento
de Dados pessoais , Consentimento,
Menores,…
• Auditoria de informação relativo a dados
registados e respetivo tratamento
4. Communicating privacy information
5. Individuals' rights
• Comunicar direitos de privacidade
• Avaliar e rever tratamento dos Direitos dos
titulares, gestão de pedidos,
• Preparar e realizar PIA / DPIA
6. Breach notification
• Processos de notificação em situação de
falhas de privacidade
7. Transfer of data
• Processos de transferência de dados,
subscontratados e/ou internacionais
8. Documentar e manter evidências -
• Organizar e manter atualizada a
documentação e as evidências da
conformidade aos princípios do RGPD.

22. METODOLOGIAS – ABORDAGEM CNPD
1. Informação aos titulares dos dados
• Reformular impressos, políticas de privacidade e
todos os textos que prestem informação aos
titulares dos dados
2. Exercício dos direitos dos titulares dos dados
• Rever procedimentos internos de garantia do
exercício dos direitos dos titulares dos dados, ,
em especial aos prazos máximos de resposta.
3. Consentimento dos titulares dos dados
• Rever a forma e circunstâncias em que foi obtido
o consentimento dos titulares.
4. Dados sensíveis
• Avaliar condições para o seu tratamento, relativas
à licitude do tratamento, aos direitos ou às
decisões automatizadas.
5. Documentação e Registo de atividades de tratamento
• Documentar de forma detalhada todas as
atividades relacionadas com o tratamento de
dados pessoais, quer os responsáveis do
tratamento quer as sub-contratadas.
6. Contratos de subcontratação
• RGPD veio especificar o conteúdo dos contratos
de subcontratação, impondo a introdução de um
vasto conjunto de informações
7. Encarregado de proteção de dados
8. Medidas técnicas e organizativas e segurança do
tratamento
9. Proteção de dados desde a conceção e avaliação de
impacto
10. Notificação de violações de segurança
• Procedimentos internos e ao nível da
subcontrata- ção, se for o caso, para lidar com
casos de violações de dados pessoais,
designadamente na deteção, identificação e
investigação das circunstâncias, medidas
mitigadoras,...
https://www.cnpd.pt/bin/rgpd/10_Medidas_para_preparar_RGPD_CNPD.pdf

23. NOSSA ABORDAGEM - METODOLOGIA PDCA
•Implementação
e
Transformação
•Manutenção e
adaptação a
novas
alterações
•Avaliação,
Inventariação e
Diagnóstico
•Assessment -
Controlo e
melhoria
contínua
Act Plan
DoCheck

24. ABORDAGEM AO PROJETO ASSESSMENT
Identificação das principais Obrigações e Requisitos de conformidade ao RGPD
Análise de Riscos de incorformidade: Legal – Assessment Jurídico ; TI –
Assessment tecnológico: Descoberta e Inventário; Segurança – Assessment
Descoberta e Inventário – Sistemas, Dados, Fluxos e Transferências
Execução de análise de Impacto (Princípio do DPIA – Data Protection Impact
Analysis)
Identificação de Gap Analysis: Processo de Gestão da Segurança; Politica de
Acessos; Sistemas de Proteção
Recomendações
Jurídico - Legal Processos e Tecnologia Segurança

25. OBJETIVOS DO PROJETO – VISÃO DOS DESAFIOS E SOLUÇÃO PROPOSTA
Desafios Serviços Descrição dos Serviços
Avaliar o grau de conformidade das
diferentes áreas da Organização com o
RGPD
GDPR gap analysis Realizar e entregar uma Avaliação detalhada, evidenciando o
atual estado da Organização relativamente ao RGPD, e um plano
de atividades e recomendações para endereçar os gaps e os
respetivos riscos.
Avaliar a situação atual relativa aos Dados
pessoais na Organização – Quais, Quem,
Onde, e Como são mantidos os Dados.
GDPR data flow audit Realizar e entregar um inventário de categorias de Dados
Pessoais recolhidos, processados e guardados pela Organização
e, respetivo mapeamento dos processos com fluxos de dados.
Avaliar os riscos relativos ao RGPD da
introdução de novos processos e sistemas
de informação.
Data protection impact
assessment (DPIA)
Realizar e entregar uma avaliação dos riscos da proteção de
dados pessoais associados aos principais processos ou sistemas
de dados pessoais e o respetivo plano de mitigação de riscos.
Avaliar a qualidade das políticas e
guidelines de segurança da informação no
âmbito da RGPD
Security check Análise de principais ameaças e vulnerabilidades.
Plano de resposta a incidentes e Recomendações
Avaliar e recomendar um plano de
atividades para o projeto de
conformidade ao RGPD.
Serviços de transição e
preparação para o RGPD
Realizar e recomendar um plano de projeto para uma transição
para o RGPD, que deve incluir:
1.Política global de Proteção de Dados
2.Políticas, processos e procedimentos gerais
3.Política global de Segurança da informação
4.Gestão de Incidentes
5.Política de Transferência de dados com Terceiros
6.Documentação obrigatória de “compliance”
Avaliar plano de comunicação, de
formação e “awareness” aos gestores e
colaboradores chave sobre o RGPD.
Formação de RGPD –
awareness
Realizar e recomendar plano de comunicações orientado a todos
os colaboradores da Organização. Realizar sessões de
“Awareness” de introdução sobre princípios e responsabilidades
fundamentais definidos no RGPD.

26. ABORDAGEM – AVALIAÇÃO SISTEMAS TI & SEGURANÇA
1. Inventário
2. Captura / Utilização / Partinha
3. Políticas de TI e Segurança -
4. Arquivo e Retenção
5. Segurança TI e Operações
6. Data Security
7. Deteção “Data Breach”, Resposta e Reporting
8. Apagar e Destruir

27. AVALIAÇÃO DE SEGURANÇA - SECURITY CHECK
1ª Fase - Levantamento
• Avaliar a qualidade das políticas e guidelines de segurança da informação no âmbito da RGPD e plano de resposta
a incidentes.
2ª Fase – Avaliação
• Análise de ameaças e vulnerabilidades
• Teste de intrusão (pentesting) automático e manual.
• Categorização das vulnerabilidades de web apps com OWASP Top10.
• Criação de POC (proof-of-concept) de vulnerabilidades encontradas para replicação pelos desenvolvedores.
• Plano de resposta a incidentes e relatório com recomendações
Nota: dependendo do scope a definir, a análise pode incidir sobre web apps, apps móveis, servidores, rede wi-fi, IOT, e
outras áreas da fundação, clínica e centro de investigação. Exclui o solucionamento das vulnerabilidades, sendo o
processo Analisar-Testar-Informar.
3ª Fase – Implementação
• Workshop com staff para awareness de segurança na óptica do utilizador com foco em “social engineering”,
“malware” e “phishing”.
4ª Fase – Validação (estimado 3 a 6 meses após entrega das recomendações)
• Auditoria de validação das implementações recomendadas.

28. ÁREAS DE GESTÃO DE PRIVACIDADE E PROTEÇÃO DE DADOS
Uma visão do âmbito dos possíveis fluxos de trabalho, avaliação e resultados “deliverables” do projeto.
Políticas de
Governance
Inventário e Fluxos
de dados
Políticas de
Segurança e
Privacidade
Operações
Formação e
informação
Gestão de Risco
Gestão de Terceiros
e Subcontratados
Processos de
Notificações
Gestão de Pedidos e
e Reclamações
Monitorização e
avaliação geral
Gestão de Quebra e
Perda de dados
Entidades de
Supervisão,
Auditorias e
Compliance externa
Visão de estado de Tarefas e Resultados:
Verde - on track,
Cinza - em standby,
Laranja – em risco de atraso,
Vermelho – em atraso confirmado.

29. REGISTOS DAS ATIVIDADES DE TRATAMENTO (ART 30)

30. PLATAFORMA DE GESTÃO DE SERVIÇOS
• Gestão de serviços definidos pelo RGPD
Container Deployment Foundation
Physical Virtual Cloud
Applications InfrastructureServices
Configuration management | Automated service modeling
Processes Asset
management
Portal de serviços
Automation
Big Data Analytics
Container
Documentos, Processos e fluxos de dados definidos na
plataforma de gestão de serviços:
 Portal do titular de dados
 Política geral de proteção de dados pessoais
 Política geral de Segurança de informação e dados
 Política de proteção de dados de colaboradores
 Registo de notificações
 Responsável de Proteção de Dados Descrição de
função
 Procedimento de Inventário de atividades de
processamento de dados
 Inventário de atividades de processamento de dados
 Formulário de consentimento de titular para
finalidade específica
 Formulário para retirada de consentimento
 Procedimentos de pedidos de acesso
 Metodologia de DPIA Data Protection Impact
Assessment
 Registo de DPIA
 Clausulas contratuais standard
 Questionário de conformidade RGPD para
subcontratados
 Acordo de subcontratação associado a processamento
de dados
 muitos mais ….

31. Anexos
Informação sobre RGPD