O documento fornece orientações sobre como pequenas organizações e microempresários podem se preparar para o RGPD. Explica que eles devem documentar quais dados pessoais coletam e armazenam, como os usam e protegem, e garantir que possam atender aos direitos dos titulares de dados. Também enfatiza a importância da privacidade e segurança por design.

1. COMO PREPARAR
A MINHA ORGANIZAÇÃO PARA O RGPD
Pedro Fonseca / Kaksi Media
6 de março de 2018

2. PEDRO FONSECA
Era uma vez…

3. PROGRAMA DE HOJE
• O que é o RGPD
• O incumprimento e as coimas

4. O RGPD NA MINHA
ORGANIZAÇÃO
• Os novos conceitos
• Os princípios e os direitos
• Os deveres
• O que muda
• Como adapto a minha organização
• Próximos passos

5. O QUE É O
RGPD?

6. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
regula a proteção das pessoas singulares
nos que diz respeito ao
• tratamento de dados pessoais
• e à livre circulação desses dados

7. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Já está em vigor e passa a ser de
aplicação obrigatória a 25 de maio de
2018
Revoga a Diretiva Comunitária 95/46/CE

8. O QUE É O
RGPD?

9. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Introduz, novos princípios e conceitos, novos
direitos para os titulares de dados que
significam novos deveres para as empresas
que com eles lidam.
A avaliação de impacto, a privacidade na
conceção de novos produtos ou serviços
com dados e a privacidade por defeito, as
notificações das violações de segurança, e a
figura do encarregado de proteção de
dados.

10. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
Será um trabalho tripartido.
Envolve equipas de compliance, direito,
e informática

11. GLOSSÁRIO RGPD
Accountability, Consentimento, Dados
Pessoais, DPO - Data Protection Officer,
Limitação do Tratamento, Data
Minimisation, Oposição ao Profiling,
Privacy by Design, Privacy by Default,
Impacto, Data Processor, Tratamento,
Violação de Dados Pessoais, Violação de
Segurança, Notificação, etc….

12. GLOSSÁRIO RGPD
Dados Pessoais

13. GLOSSÁRIO RGPD
Dados Pessoais
Consentimento

14. GLOSSÁRIO RGPD
Dados Pessoais
Consentimento
Tratamento

15. GLOSSÁRIO RGPD
Dados Pessoais
Consentimento
Tratamento
Profiling

16. GLOSSÁRIO RGPD
Dados Pessoais
Consentimento
Tratamento
Profiling
Privacidade e Segurança by Design

17. REGULAMENTO GERAL DE
PROTEÇÃO DE DADOS
As coimas poderão:
• atingir 4% da faturação anual ou
• 20 milhões de euros
A CNPD estará atenta!

18. O QUE MUDA COM O RGPD
ONDE SE APLICA O RGPD
A QUEM SE APLICA O RGPD

19. A QUEM SE APLICA O
RGPD?
A todas as pessoas singulares e coletivas
que efetuem tratamento de dados
pessoais de residentes na União
Europeia.
Estas entidades podem ser aquelas que
determinam as finalidades e os meios de
tratamento de dados pessoais, mas
também as que efetuam esse tratamento
em regime de subcontratação.

20. ONDE SE APLICA O
RGDP?
O RGDP aplica-se em todo o território
da União Europeia, contudo com uma
importante inovação, pois se uma
empresa estiver estabelecida fora da
geografia da UE, isto é, sem presença na
UE mas a realizar serviços ou negócios
que envolvam algum género de
tratamento de dados pessoais, o
Regulamento é aplicável.

21. O RGPD APLICA-SE A
TODOS POR IGUAL?
Não.
A aplicação do regulamento aplica-se a
todos, mas dependendo da natureza do
processamento, da avaliação do impacto
ou do tamanho da organização, algumas
exceções podem ser aplicadas.

22. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
O tipo e a quantidade de dados pessoais
que podemos processar depende do
motivo (razão jurídica usada) e o que
desejamos fazer com os dados.
Devemos respeitar várias regras:

23. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Os dados pessoais devem ser
processados de forma legal e
transparente, garantindo justiça para
com os indivíduos cujos dados pessoais
você está processando

24. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos ter fins específicos para o
processamento dos dados e devemos
indicar esses propósitos para os titulares
dos dados ao recolher os dados
pessoais.
Não podemos simplesmente recolher
dados pessoais para fins indefinidos
("limitação de propósito").

25. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos recolher e processar apenas os
dados pessoais necessários para cumprir
esse objetivo ("minimização de dados")

26. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos garantir que os dados pessoais
são precisos e estão atualizados, tendo
em conta os propósitos para os quais
são processados ("precisão").

27. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Não podemos usar os dados pessoais
para outros fins que não são compatíveis
com o propósito original da recolha.

28. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos garantir que os dados pessoais
são armazenados por um período não
superior ao necessário para os fins para
os quais foram recolhidos ("limitação de
armazenamento").

29. QUE DADOS PODEMOS USAR
E EM QUE CONDIÇÕES?
Devemos adotar as medidas técnicas e
operacionais adequadas que assegurem
a segurança dos dados pessoais,
incluindo a proteção contra o
processamento não autorizado ou ilegal
e contra perdas, destruições ou danos
acidentais, usando tecnologia
apropriada ("integridade e
confidencialidade").

30. PODEMOS USAR OS
DADOS PARA OUTRO FIM?
Sim, mas apenas em alguns casos.
Se sua empresa / organização recolheu
dados com base em interesse legítimo,
pode ser usado para outra finalidade,
mas somente depois de verificar se o
novo objetivo é compatível com a
finalidade original.

31. POR QUANTO TEMPO OS DADOS
PODEM SER MANTIDOS E É
NECESSÁRIO ATUALIZÁ-LOS?
Devemos armazenar dados pelo menor
tempo possível.
Deve estabelecer limites de tempo para
apagar ou rever os dados armazenados.
Também devemos garantir que os dados
mantidos sejam precisos e atualizados.

32. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas
ou filosóficas

33. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas
ou filosóficas
• filiação sindical

34. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas
ou filosóficas
• filiação sindical
• dados genéticos/ biométricos

35. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas
ou filosóficas
• filiação sindical
• dados genéticos/ biométricos
• dados relacionados à saúde

36. QUE DADOS PESSOAIS SÃO
CONSIDERADOS SENSÍVEIS?
• que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas ou
filosóficas
• filiação sindical
• dados genéticos/ biométricos
• dados relacionados à saúde
• dados relativos à vida/orientação sexual

37. O QUE MUDA?
• One document to rule them all

38. O QUE MUDA?
• One document to rule them all
• O consentimento

39. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis

40. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade e notificação)

41. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade e notificação)
• Documentação associada ao tratamento

42. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade e notificação)
• Documentação associada ao tratamento
• DPO

43. O QUE MUDA?
• One document to rule them all
• O consentimento
• Definição de dados sensíveis
• Exercício dos direitos dos titulares (acesso,
eliminação, portabilidade e notificação)
• Documentação associada ao tratamento
• DPO
• Notificações de violações

44. RESUMINDO
Se o teu negócio recolhe, guarda ou usa
dados de cidadãos europeus, então tens
de:
• Informar quem és, porque recolhes
estes dados, por quanto tempo e a
quem os irás disponibilizar

45. RESUMINDO
Se o teu negócio recolhe, guarda ou usa
dados de cidadãos europeus, então tens
de:
• Informar quem és, porque recolhes
estes dados, por quanto tempo e a
quem os irás disponibilizar
• Obter um consentimento claro antes
da recolha dos dados

46. RESUMINDO
Se o teu negócio recolhe, guarda ou usa
dados de cidadãos europeus, então tens de:
• Informar quem és, porque recolhes estes
dados, por quanto tempo e a quem os
irás disponibilizar
• Obter um consentimento claro antes da
recolha dos dados
• Permitir o acesso aos dados

47. RESUMINDO
Se o teu negócio recolhe, guarda ou usa dados
de cidadãos europeus, então tens de:
• Informar quem és, porque recolhes estes
dados, por quanto tempo e a quem os irás
disponibilizar
• Obter um consentimento claro antes da recolha
dos dados
• Permitir o acesso aos dados
• Permitir que os possa levar

48. RESUMINDO
Se o teu negócio recolhe, guarda ou usa dados de
cidadãos europeus, então tens de:
• Informar quem és, porque recolhes estes dados,
por quanto tempo e a quem os irás disponibilizar
• Obter um consentimento claro antes da recolha dos
dados
• Permitir o acesso aos dados
• Permitir que os possa levar
• Permitir que os possa eliminar

49. RESUMINDO
Se o teu negócio recolhe, guarda ou usa dados de cidadãos
europeus, então tens de:
• Informar quem és, porque recolhes estes dados, por
quanto tempo e a quem os irás disponibilizar
• Obter um consentimento claro antes da recolha dos dados
• Permitir o acesso aos dados
• Permitir que os possa levar
• Permitir que os possa eliminar
• Informar quando existir uma violação de segurança

50. PERGUNTA-TE
• Sabes onde estão os dados pessoais?
• Tens um registo organizado?
• Temos consentimento dos titulares dos dados com os
requisitos do RGPD?
• Os sistemas garantem a confidencialidade dos
dados?
• Conseguimos detetar qualquer violação dos mesmos?
• Enquanto processador de dados por conta de
terceiros, cumprimos o RGPD?

51. ALGUMA COISA TINHA
DE SER FEITA

52. DÚVIDAS E CAFÉ?
Depois:
• RGPD e os próximos 7 passos

53. GOOGLE AND THE GDPR
Audits and certifications
• ISO 27001 (Information security management)
• ISO 27017 (Cloud security)
• ISO 27018 (Cloud privacy)
• SSAE16/ISAE 3402
• Privacy Shield
• FedRAMP
• PCI DSS (Payment Card Industry Data Security Standard)

54. GOOGLE AND THE GDPR
Contractual protections
• Data Processing and Security Terms (or
Data Processing Amendments)
• European Model Contract Clauses to
address EU data-transfer requirements
• Business Associate Agreement addressing
requirements under the U.S. Health
Insurance Portability and Accountability Act

55. GOOGLE AND THE GDPR
Google’s commitment to GDPR
• Updated terms
• Robust safeguards
• Incident response
• User transparency
• International transfers
• Privacy practices

56. EU NÃO SOU A GOOGLE
Universo micro-empresários
• serviços
• comércio
• ????

57. SE ÉS MICRO-
EMPRESÁRIO
Começa a documentar:
• Que dados recolhes

58. SE ÉS MICRO-
EMPRESÁRIO
Começa a documentar:
• Que dados recolhes
• Onde os armazenas

59. SE ÉS MICRO-
EMPRESÁRIO
Começa a documentar:
• Que dados recolhes
• Onde os armazenas
• Que tratamento fazes

60. CONHECE OS DADOS
Mostra um conhecimento da informação
recolhida (por exemplo nome, morada,
email, dados bancários, fotos, endereços
IP) a até se há dados sensíveis, onde são
obtidos, de que forma são usados e com
quem são partilhados.

61. DESCREVAM PROCESSOS
Pode parecer complicado, mas:
- descrevam o objetivo do tratamento e
de que forma obtiveram o
consentimento
- descrevam os fluxos
- definam o período de tempo e de que
forma garantem os direitos

62. SE ÉS MICRO-
EMPRESÁRIO
Abraça:
• Privacy by design
• Security by design
Sê cuidadoso e responsável

63. O QUE SIGNIFICA PROTEÇÃO DE
DADOS "POR DESIGN" E "POR
PADRÃO"?
As empresas / organizações são
encorajadas a implementar medidas
técnicas e organizacionais, nas fases
iniciais do projeto das operações de
processamento, de tal forma que
protejam os princípios de privacidade e
proteção de dados desde o início
("proteção de dados por design").

64. O QUE SIGNIFICA PROTEÇÃO DE
DADOS "POR DESIGN" E "POR
PADRÃO"?
Por padrão, as empresas / organizações
devem garantir que os dados pessoais
sejam processados com a maior proteção
de privacidade (por exemplo, apenas os
dados necessários devem ser
processados, curto período de
armazenamento, acessibilidade limitada)
para que, por padrão, os dados pessoais
não sejam acedidos por um número
indefinido número de pessoas ("proteção
de dados por padrão").

65. REVÊ A SEGURANÇA
Se andaram a assobiar, eis que chega a
altura de agregação as mangas.
Agora é a doer.
Encontrem o equilíbrio.

66. FORMAÇÃO A TODOS OS
FUNCIONÁRIOS
Garantam que a vossa organização está
consciente e atenta.
Entendam as falhas de segurança e não
as condenem, pelo contrário.

67. SE ÉS MICRO-
EMPRESÁRIO
Procura ferramentas que demonstrem
que estão a trabalhar para a
conformidade.
Pede-lhes documentação

68. SE ÉS MICRO-
EMPRESÁRIO
Começa a alterar os sites/formulários por
forma a informar de forma clara:
• o consentimento,
• e o tratamento que darás aos dados

69. IDENTIFICAR OS
CONSENTIMENTOS
Identifiquem os diversos consentimentos
que utilizam.
O consentimento para fins de marketing
é muito diferente do consentimento para
serviço pós-venda.

70. CONSENTIMENTO
O EXEMPLO DO CHÁ HTTPS://WWW.YOUTUBE.COM/WATCH?V=FGOWLWS4-KU
Eu concordo que a Empresa X entre em contato comigo para me
informar acerca de produtos de calçado e serviços de consultoria de
imagem que me possam interessar. Eu concordo que posso cancelar a
qualquer momento. Eu concordo que as informações fornecidas através
deste site sejam armazenadas e processadas com o propósito de
comunicação de marketing.

71. EM QUANTO TEMPO?
Se um titular vos pedir o acesso aos
dados, em quanto tempo conseguem
obter essa informação?
Ou corrigir, eliminar, exportar?
E se metade dos vossos contactos o
fizer?
Sabem qual o prazo máximo?

72. SE TENS PARCEIROS
EXTERNOS
Antes:
• Cria um Acordo de Confidencialidade

73. SE TENS PARCEIROS
EXTERNOS
Antes:
• Cria um Acordo de Confidencialidade
• Define dados a ser trocados e canais
seguros para a troca

74. SE TENS PARCEIROS
EXTERNOS
Antes:
• Cria um Acordo de Confidencialidade
• Define dados a ser trocados e canais
seguros para a troca
• Define interlocutores e regras para
comunicar incidentes de segurança

75. SE TENS PARCEIROS
EXTERNOS
Depois:
• Informa o término da relação

76. SE TENS PARCEIROS
EXTERNOS
Depois:
• Informa o término da relação
• Remove os privilégios

77. SE TENS PARCEIROS
EXTERNOS
Depois:
• Informa o término da relação
• Remove os privilégios
• Parceiro destroi a informação e regista
o ato

78. ESCOLHAM BEM OS
VOSSOS PARCEIROS
Os vossos parceiros também devem
cumprir o RGPD.
Perguntem o que estão a fazer de
momento.

79. E AMANHÃ?
Controlo de Qualidade e Melhoria
Contínua
No âmbito dos processos internos de
garantia de qualidade e melhoria
contínua, deve ser dado especial
enfoque à segurança da informação.

80. E AMANHÃ?
Mecanismos de Alerta
Os sistemas e aplicações deverão ser
implementados, de forma a serem gerados
alertas em caso de vulnerabilidade e/ou
ocorrência de violações de segurança.
Estes mecanismos permitirão, aos
responsáveis pelos sistemas de informação,
identificar o incidente e por em prática as
medidas necessárias de forma a minimizar os
riscos para a privacidade.

81. O RGPD PODE FAZER
MUITO PELA TUA
IMAGEM ENQUANTO
PROFISSIONAL