RGPD: como informar as pessoas e garantir a transparência?

O RGPD requer informações completas e precisas. Os métodos de fornecimento e apresentação dessas informações devem ser adaptadas ao contexto dos titulares, dados pessoais objeto de tratamento e às finalidades do tratamento.

A transparência permite aos interessados:

  • saber o motivo da coleta dos diversos dados que lhes dizem respeito;
  • entender o tratamento que será feito de seus dados;
  • assegurar o controle de seus dados, facilitando o exercício de seus direitos.

Para os Responsáveis pelo Tratamento (controladores de dados/data controller), contribui para o tratamento justo dos dados pessoais e permite que uma relação de confiança seja estabelecida com os titulares dos dados.

Quando devo informar?

Informar os titulares envolvidos:

  • no caso de coleta direta de dados:  quando os dados são coletados diretamente de pessoas, (exemplo: através de formulários, compras online, assinatura de contrato), ou quando são coletados por meio de dispositivos ou tecnologias de observação da atividade das pessoas (exemplos : vigilância por vídeo, análise de navegação na Internet, geolocalização e análise / rastreamento de wi –  fi  para medição de audiência, etc.);
  • no caso de recolha indireta de dados pessoais:  quando os dados não são coletados diretamente de indivíduos (exemplos: dados coletados de parceiros de negócios,  corretores de dados , fontes acessíveis ao público ou outras pessoas).

Em que momento devo informar?

  • no caso de coleta direta: no momento da coleta de dados;
  • no caso de coleta indireta: logo que possível (especialmente durante o primeiro contato com a pessoa) e, no máximo, no prazo de um mês;
  • no caso de uma modificação substancial ou evento especial (exemplos: novo propósito, novos destinatários, mudança nos métodos de exercício de direitos, violação de dados)

A informação regular contribui para o objetivo de transparência, em particular para o tratamento de dados pessoais em grande escala ou no tratamento de dados da categoria dados especiais. Pode ser fornecido, em particular, quando o Responsável pelo Tratamento comunica com os titulares dos dados.

Que informações devo prestar?

De uma forma concisa, transparente, compreensível, facilmente acessível, em termos claros e simples devem ser fornecidas as seguintes informações:

  • Identidade e detalhes de contato da Organização (como Responsável pelo tratamento);
  • Finalidades  (para que serão utilizados os dados coletados);
  • Fundamento de licitude  para o tratamento de dados (o consentimento,  o cumprimento de uma obrigação jurídica, a execução de um contrato, interesses legítimos, etc.);
  • Categoria de dados coletados;
  • Fontes dos dados;
  • Carácter obrigatório ou opcional da recolha de dados e consequências para a pessoa em caso de não fornecimento de dados;
  • Destinatários ou categorias de destinatários dos dados  (quem necessita aceder ou recebê-los para os fins definidos, incluindo subcontratantes);
  • Período de retenção de dados  (ou critérios para determiná-lo);
  • Direitos dos titulares dos dados;
  • Detalhes  de contato para questões de proteção de dados pessoais da organização (o Encarregado de Proteção de Dados, se nomeado, ou de um ponto de contato);
  • A existência de uma transferência de dados para um país fora da União Europeia e as respectivas garantias associadas à transferência e a possibilidade de acesso aos documentos que autorizam essa transferência (exemplo: as cláusulas contratuais padrão da Comissão Europeia);
  • Direito de reclamar junto da CNPD.

Como saber mais?

Guidelines on Transparency under Regulation 2016/679 (wp260rev.01)

RGPD: O interesse legítimo num relance

Qual é a base dos ‘interesses legítimos’?

Os interesses legítimos é uma base legal para o tratamento de dados, contudo a Organização não pode presumir que sempre será a mais apropriada face aos seus interesses e aos interesses das pessoas.

O Artigo 6 (1) (f) do RGPD fornece um fundamento de licitude para o tratamento de dados pessoais quando:

“O tratamento é necessário para os fins dos interesses legítimos perseguidos pelo responsável pelo tratamento (data controller) ou por um terceiro, exceto quando tais interesses forem anulados pelos interesses ou direitos e liberdades fundamentais do titular dos dados que requeiram proteção de dados pessoais, em particular quando os dados sujeito é uma criança. ”

Questões a considerar

  • É provável que seja mais apropriado quando se usa os dados das pessoas da maneira que elas razoavelmente esperariam e que tenham um impacto mínimo na privacidade, ou quando houver uma justificação para o tratamento de dados pessoais com esse fundamento de licitude.
  • Quando a Organização opta por fundamentar o tratamento nos interesses legítimos, estará assumindo responsabilidade extra por considerar e proteger os direitos e interesses das pessoas (titulares de dados pessoais).
  • As entidades da administração pública só podem optar pelo fundamento “interesses legítimos” se o tratamento for feito por um motivo legítimo que não o desempenho das suas atividades como autoridade pública.
  • Existem três elementos na base:
    • identificar um interesse legítimo;
    • mostrar que o processamento é necessário para alcançá-lo; e
    • equilibrar o interesse legítimo com os interesses, direitos e liberdades das pessoas.
  • Os interesses legítimos podem ser próprios ou de terceiros. Podem incluir interesses comerciais, interesses individuais ou benefícios sociais mais amplos.
  • O tratamento de dados deve ser necessário e devidamente justificado porque se a Organização puder alcançar razoavelmente o mesmo resultado de outra forma menos invasiva, os interesses legítimos não se aplicarão.
  • Devem ser equilibrados os interesses da Organização com os da pessoa. 
  • Como boa prática de conformidade ao RGPD, a Organização deve manter informação documentada da avaliação de interesses legítimos (LIA) para ajudar a demonstrar a conformidade e justificar a decisão.

Avaliação do interesse legítimo (LIA)

Um LIA é um tipo de avaliação de risco que tem como base o contexto e as circunstâncias específicas da atividade de tratamento de dados pessoais com a base legal do interesse legítimo. Esta avaliação ajudar a garantir a atividade de tratamento está em conformidade com  as obrigações preconizadas nos artigos 5 (2) e 24 do RGPD. A avaliação deverá abranger 3 vetores:

  1. Teste de objetivo
  2. Teste de necessidade
  3. Teste de equilíbrio

Se o resultado da avalição LIA identificar riscos significativos, considerar a realização de um DPIA (Avaliação de Risco sobre a Privacidade) para avaliar e mitigar o risco.

Para saber mais:

Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC 

 

RGPD e os cookies

O que são cookies?

Os cookies são pequenos arquivos de texto que um website armazena, através do navegador (browser),  nos dispositivos de acesso (computador,  dispositivo móvel, mobile e tablet) quando vez que um utilizador visita um site. 

Que tipos de cookies existem?

Existem dois grupos cookies :

– Cookies permanentes – são cookies que ficam armazenados ao nível do browser nos dispositivos de acesso  e que são utilizados quando se faz uma nova visita a um website. São utilizados, geralmente, para direcionar a navegação aos interesses do utilizador, permitindo prestar um serviço mais personalizado.

– Cookies de sessão – são cookies temporários que permanecem no arquivo de cookies do browser até sair do website. A informação obtida por estes cookies serve para analisar padrões de tráfego na web, permitindo identificar problemas e fornecer uma melhor experiencia de navegação.

Para que finalidades são utilizados?
Os cookies podem ser utilizados para reter apenas informação relacionada com elementos funcionais do site mas também as preferências do visitante.

– Cookies estritamente necessários – Permitem que se navegue no website e se utilize as suas aplicações, bem como aceder a áreas seguras do website. Sem estes cookies, alguns dos serviços não podem ser prestados.

– Cookies analíticos – São utilizados anonimamente para efeitos de criação e análise de estatísticas, no sentido de melhorar o funcionamento do website.

– Cookies de funcionalidade – Guardam as preferências do utilizador relativamente à utilização do site, para que não seja necessário voltar a configurar o site cada vez que o utilizador o visita.

– Cookies de terceiros – Medem o sucesso de aplicações e a eficácia da publicidade de terceiros. Podem também ser utilizados no sentido de personalizar um widget com dados do utilizador.

– Cookies de publicidade – Direcionam a publicidade em função dos interesses de cada utilizador, por forma a direcionar as campanhas publicitárias tendo em conta os gostos dos utilizadores, sendo que, além disso, limitam a quantidade de vezes que vê o anúncio, ajudando a medir a eficácia da publicidade e o sucesso da organização do website.

Como é que um utilizador pode gerir os cookies?

Todos os browsers permitem ao utilizador aceitar, recusar ou apagar cookies, nomeadamente através da seleção das definições apropriadas no respetivo navegador. Pode configurar os cookies no menu “opções” ou “preferências” do seu browser.

Note-se, no entanto, que, ao desativar cookies, pode impedir que alguns serviços da web funcionem corretamente, afetando, parcial ou totalmente, a navegação no website.

Cookies e a responsabilidade

As organizações que detêm os websites são responsáveis por todos os cookies que permitem que sejam colocados nos dispositivos de acesso e têm, por isso, a obrigação de assegurar que são cumpridas todas as exigências legais, designadamente a informação aos utilizadores e a
obtenção do seu consentimento quando tal se impõe, como é o caso de cookies que não sejam estritamente necessários, nos termos do artigo 5.º da Lei 41/2004, de 18 de agosto, na sua última redação.

RGPD e a transparência da informação

Um dos requisitos mais importantes do RGPD está na definição do que constitui um consentimento adequado ao cookie. O utilizador precisa optar por aceitar ou recusar os vários tipos de cookies, exceto os cookies  estritamente necessários. Esse consentimento deve ser de fácil procedimento para o utilizador, além de permitir a possibilidade de mudar de ideia a qualquer momento.

Não é necessário a obtenção do consentimento do utilizador, se estes cookies forem estritamente necessários para a prestação de um serviço de comunicação online expressamente solicitado pelo utilizador, mas na verdade, um simples botão “ok” para aceitar cookies não é suficiente. É preciso ter um aviso em conformidade com o RGPD solicitando o consentimento para definir cookies.

Além disso, o utilizador tem o direito de ser “esquecido”. A partir de um pedido do utilizador , todos os seus dados pessoais devem ser excluídos corretamente.

O consentimento do utilizador deve ser materializado por um ato claro e positivo como, por exemplo, um clique no botão “Aceitar todos”. A ausência de uma manifestação clara de vontade de aceitar o armazenamento de cookies deve ser entendido como um recusa.

ISO/IEC 27701:2019 e o RGPD

ISO / IEC 27701: 2019 – Privacy Information Management System (PIMS),  fornece uma estrutura para integrar a privacidade às práticas organizacionais

Como temos referenciado em alguns artigos, a norma ISO / IEC 27552 seria lançada em agosto de 2019, um padrão para a implementação e certificação de um Sistema de Gestão de Privacidade / Privacy Information Management System (PIMS), juntamente com a ISO / IEC 27001.

A ISO decidiu algumas mudanças em relação a esta norma (ISO / IEC 27552), que desapareceu para se tornar ISO/IEC 27701 – Técnicas de segurança – Extensão para ISO/IEC 27001 e ISO/IEC 27002 para gestão de informações de privacidade – Requisitos e diretrizes.

Para todas as empresas já certificadas na norma ISO/IEC 27001, é uma grande oportunidade para estender o âmbito do sistema gestão da segurança da informação ao tratamento de dados pessoais e demonstrar o compromisso e diligência às partes interessadas e, por que não, pode implicar uma vantagem competitiva.

Nos últimos anos, o domínio da privacidade tornou-se cada vez mais regulamentado. A governança de privacidade continua sendo um empreendimento complexo em vista da atenção regulatória, da legislação em evolução global e da maturidade social. Qualquer auditoria ISO/IEC 27701:2019 exige que a organização declare as leis e regulamentos aplicáveis nos critérios para a auditoria de conformidade, o que significa que o padrão pode ser mapeado para a maioria dos requisitos do RGPD.

A ISO/IEC 27701 pode garantir a conformidade com o RGPD?

As normas ISO/IEC 27001 e ISO/IEC 27701 não cobrem todos os aspectos do RGPD.

A norma ISO 27701 pode posicionar bem qualquer organização para conformidade futura com o RGPD. Enquanto que o ISO é um sistema de gestão, o RGPD é  uma estrutura legal, contudo a ISO 27701 ajuda a criar um caminho para a conformidade com o preconizado no RGPD, criando um padrão para a proteção de dados e privacidade.

O que é ISO/IEC 27001 e ISO/IEC 27701?

A proteção das informações em toda a organização comprovadamente exige um esforço multidisciplinar e especialização multifuncional. A  ISO/IEC 27001 é uma estrutura de segurança da informação de longa data usada para construir um Sistema de Gestão de Segurança da Informação (SGSI) dentro de uma organização.

A ISO/IEC 27701 foi criada como um componente adicional  para complementar a ISO/IEC 27001, que introduziu mais controlos específicos de privacidade. Com a ISO 27701, as organizações podem criar um Sistema de Gestão de Informações de Privacidade (PIMS) e tornar-se certificadas em certas práticas de privacidade. A ISO 27701 foi criada em grande parte para fornecer orientação sobre o cumprimento dos regulamentos de privacidade introduzidos em todo o mundo, como o RGPD (Regulamento Geral sobre a  Proteção de Dados) e o CCPA (Ato de Privacidade do Consumidor da Califórnia).

A ISO 27701 não é um padrão independenteEm vez disso, o padrão original do sistema de gestão de segurança da informação ISO 27001 (SGSI) serve como base, e as organizações podem adicionar outros padrões ISO.

Como implementar a norma ISO/IEC 27701?

Contacte-nos porque as soluções da Controlgal Consulting permitem às organizações melhorar continuamente os seus sistemas de gestão.

Como saber mais?

https://www.apcergroup.com/pt/certificacao/pesquisa-de-normas/1571/iso-iec-27701

https://www.iso.org/standard/71670.html

Ajudamos a cumprir as horas de formação profissional obrigatória

Somos uma entidade certificada pela DGERT (Direção Geral do Emprego e das Relações de Trabalho) para conceber e organizar ações de formação de qualificação inicial e contínua nos seguintes domínios:

  • (Cod.345) Ciências sociais, comércio e direito » Ciências empresariais » Gestão e Administração
  • (Cod.347) Ciências sociais, comércio e direito » Ciências empresariais » Enquadramento na Organização/ empresa
  • (Cod.482) Ciências matemática e informática » Informática » Informática na ótica do utilizador

A formação que ministramos aos colaboradores é válida em qualquer inspecção da ACT para as 35 horas obrigatórias indicada no Código do trabalho. É devidamente registada e emitidos os respectivos certificados de frequência de formação profissional.

A formação de colaboradores para conformidade ao RGPD ajuda a cumprir as 35 horas de formação profissional obrigatória

As ações de formação de qualificação no domínio das medidas técnicas e organizativas em “Segurança da Informação” e “Proteção de Dados” , tem-se revelado como um dos pilares na garantia da sustentabilidade e continuidade dos negócios.

A Controlgal Consulting como entidade certificada pela DGERT concebe e organiza ações de formação  nos domínios do RGDP, Proteção de Dados e Segurança da Informação, com o objetivo  de melhoria dos níveis de segurança atuais de uma forma eficiente e eficaz, através da definição de programas adequados para minimizar os riscos de segurança.

RGPD: como preparar a certificação do nosso sistema de Proteção de Dados?

O Artigo 42º do Regulamento sobre Proteção de Dados (RGPD) preconiza que os Estados Membros, as Autoridades de Controlo, o Comité e a Comissão encorajarão o estabelecimento de mecanismos de certificação de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de Responsáveis pelo tratamento e Subcontratantes com o RGPD e que deverão ser tidas em conta as necessidades específicas das micro, pequenas e médias empresas, com o objetivo de demonstrar o cumprimento do RGPD nas operações de processamento de dados pessoais por parte de controladores e processadores (Responsáveis pelo Tratamento e Subcontratantes).

Tanto o Autoridade de Controlo nacional (CNPD) quanto Autoridade Europeia para a Proteção de Dados (AEPD) ainda não explicaram os detalhes sobre a aplicação deste artigo, nem existe qualquer indicação.

Então quais são as ações de padronização para cumprir o artigo 42º do Regulamento da UE 679/2016 (RGPD)?

Ninguém sabe o que vai acontecer, mas o melhor é estar preparado para poder demonstrar o compromisso com o RGPD.

Um sistema de gestão de conformidade ao RGPD poderá ser suportado pela implementação da norma ISO/IEC 27001 – Sistema de Gestão de Segurança da Informação (SGSI), que não sendo um requisito do RGPD tem, no entanto, sido referenciado por vários especialistas como a melhor abordagem ao RGPD, pois oferece a garantia de continuidade e consolidação de um Sistema de Gestão de Segurança da Informação (SGSI). Para apoiar a implantação do SGSI pode ser utilizado o padrão ISO/IEC 27002, que fornece um guia completo de controles a serem estabelecidos. Este processo pode ser utilizado em qualquer tipo de organização, pública ou privada, de pequeno ou grande porte, com ou sem fins lucrativos e não apenas em empresas de tecnologia.

Também de forma a operacionalizar um conjunto de princípios fundamentais para a gestão da privacidade, que o RGPD preconiza, as normas ISO/IEC DIS 27552 e ISO/IEC 29151 funcionam como uma extensão certificável com requisitos adicionais para o ISO/IEC 27001, devendo ser utilizadas no Sistema de Gestão para a Proteção de Dados (SGPD),  funcionando neste sistema de conformidade ao RGPD como uma lista de verificação de um conjunto de controles de privacidade e segurança para processamento de Dados pessoais.

Para alguns dos controles já fornecidos pela ISO / IEC 27002, a norma ISO / IEC 29151 “Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para Proteção de Informações Pessoais Identificáveis” ou “Tecnologia da Informação – Técnicas de Segurança – Código de Práticas para a Proteção de Informações Pessoais” especifica mais instruções para implementação em Proteção de Dados pessoais.

Especificamente, as diretrizes baseadas na ISO / IEC 27002 levam em conta os requisitos para o processamento de dados pessoais que podem ser aplicáveis ​​no contexto do ambiente de risco de informações de uma organização.

A ISO / IEC 29151 define objetivos de controle e diretrizes para a implementação de controles para atender aos requisitos identificados por uma avaliação de risco e avaliação de impacto relacionada à proteção de “informações pessoais identificáveis” (PII). Aplica-se a todos os tipos e tamanhos de organizações que atuam com responsabilidades de controlador e / ou processador de dados pessoais (PII conforme definido na norma ISO / IEC 29100 que fornece uma estrutura para a proteção de informações pessoais identificáveis), incluindo empresas públicas e privadas. entidades e organizações sem fins lucrativos que lidam com dados pessoais.

Mas não termina aqui, também deverá ser utilizado a norma ISO / IEC 27552, que expande os controles do ISO / IEC 27001 para sistemas que sejam dedicados à proteção de dados pessoais. No entanto, deve salientar-se que determinados requisitos do RGPD não são diretamente abrangidos por esta norma (como o direito de ser informado, o direito de apagamento e o direito à portabilidade de dados).

Para uma abordagem definitiva à conformidade ao RGPD, todas estas normas poderão ser usadas pelas organizações como uma extensão da sua Declaração de Aplicabilidade e poderá levar a certificações de sistemas de gestão para conformidade ao RGPD com base nas verificações fornecidas pela ISO / IEC 27001, ISO/IEC 27002, ISO/IEC 27552 e ISO / IEC 29151.

Na expectativa de indicações das Autoridades de Controlo e dos Supervisores, já temos material para preparar a certificação do nosso Sistema de Gestão para Proteção de Dados (SGPD).

Deve salientar-se que a adoção da certificação – que não é obrigatória – não reduz a responsabilidade do responsável pelo tratamento ou do subcontratante (Controller ou Processor) pelo cumprimento do RGPD e não prejudica as obrigações e poderes das autoridades de supervisão. No entanto a implementação de um Sistema de Gestão para Proteção de Dados (SGPD) que siga as diretrizes de normas e padrões, pode apoiar significativamente o controlador e / ou o processador no cumprimento do novo paradigma criado pelo RGPD, ou seja, a responsabilidade dos envolvidos na cadeia de tratamento de dados pessoais,  com ênfase especial na avaliação de impacto na  privacidade by design e by default, e serão considerados como atos de diligência pelas partes interessadas para a adoção voluntária de um sistema de análise e verificação dos princípios, leis e regulamentos aplicáveis à Proteção de Dados pessoais.