RGPD e o Tratamento de dados pessoais em contexto laboral

Os departamentos de RH, vendas, jurídico, financeiro, TI e Marketing são alguns dos departamentos cujas as práticas são mais afetadas pelo RGPD, pois lidam com a maior parte dos dados pessoais pelos quais a organização é responsável pelo tratamento (data controller).

Destaco neste artigo o departamento RH, quer pela quantidade de tratamentos de dados pessoais sob sua responsabilidade, quer pela quantidade de elementos t√©cnicos e processos organizativos que tem que implementar, atrav√©s do seu Sistema Geral de Prote√ß√£o de Dados (SGPD), de modo a estar em conformidade com as disposi√ß√Ķes com o RGPD e em linha com o C√≥digo de Trabalho e a Lei n¬ļ 58/2019 de 8 de agosto.

No contexto laboral o tratamento dos dados pessoais tem um impacto substancial uma vez que qualquer empresa que tenha trabalhadores a seu cargo, seja uma pequena ou média empresa, seja uma empresa vocacionada para o recrutamento ou trabalho temporário ou mesmo os grandes grupos empresariais, estão obrigados a estar em conformidade com as exigências do RGPD.

√Č uma √°rea onde se colocam muitos desafios operacionais √†s organiza√ß√Ķes e alguns deles, s√£o de grande complexidade t√©cnica para a conformidade ao RGPD. S√£o muitos os cen√°rios que se colocam a um departamento RH no tema do tratamento de dados pessoais no contexto laboral. Alguns exemplos:

  • a sele√ß√£o e o recrutamento de trabalhadores
  • a utiliza√ß√£o de recursos de informa√ß√£o e comunica√ß√£o na empresa (computador, telemovel, email, internet,‚Ķ)
  • a utiliza√ß√£o de recursos de comunica√ß√£o fora da empresa
  • o controlo de tempos de trabalho
  • a biometria de assiduidade
  • a monitoriza√ß√£o da atividade de trabalhadores nas redes sociais
  • a utiliza√ß√£o de meios de vigil√Ęncia √† dist√Ęncia (utiliza√ß√£o de ve√≠culos autom√≥veis e a geolocaliza√ß√£o, videovigilancia)
  • os testes de √°lcool e psicotr√≥picos
  • Processos disciplinares
  • a partilha e a divulga√ß√£o de dados a terceiros
  • a subcontrata√ß√£o para processamento salarial
  • a transfer√™ncia internacional de dados (exporta√ß√£o de dados extra-EEE)
  • a pandemia COVID-19
  • o teletrabalho
  • tempos de reten√ß√£o e conserva√ß√£o dos dados pessoais em contexto laboral adequados √†s obriga√ß√Ķes legais de conserva√ß√£o

Um dos desafios √© a conformidade ao RGDP da aplica√ß√£o inform√°tica de gest√£o RH. ¬†Alguns dos m√≥dulos funcionais devem estar adequados , entre outros, o m√≥dulo referente √†s Atividades e Servi√ßos de Seguran√ßa e Sa√ļde no Trabalho, onde ter√° que haver uma separa√ß√£o l√≥gica entre os dados referentes √° sa√ļde e os restantes dados pessoais,¬† a aplica√ß√£o do exerc√≠cio do direito ao esquecimento, o modulo de controlo de assiduidade, forma√ß√£o profissional,

S√£o¬† muito relevantes o artigo 88.¬ļ e o considerando 43 do RGPD, o artigo 28.¬ļ da Lei 58/2019, sendo de relevar que o Consentimento do trabalhador n√£o √© fundamento legitimo para tratamento de alguns dos seus dados.¬† O Consentimento √© uma excep√ß√£o e s√≥ pode existir se n√£o houver consequ√™ncias negativas para o titular dos dados.

A entidade patronal como respons√°vel pelo tratamento dos dados pessoais, ter√° que recorrer ao fundamento do interesse leg√≠timo com frequ√™ncia, √† obriga√ß√£o contratual e ao cumprimento de obriga√ß√Ķes jur√≠dicas para justificar a licitude do tratamento de dados dos trabalhadores. No entanto, e no caso¬† do interesse leg√≠timo, a entidade patronal ter√° que assegurar que o tratamento √© estritamente necess√°rio, proporcional, devendo coletar somente os dados que s√£o tratados para atingir a finalidade do tratamento.

Tenho como refer√™ncia as recomenda√ß√Ķes do GT29, transcrevo algumas das orienta√ß√Ķes e ideias do documento ‚ÄúOpinion 2/2017 on data processing at work‚ÄĚ de 8.06.2017:

  • Todos os tratamentos de dados devem ser comunicados aos trabalhadores
  • Sempre que poss√≠vel, os trabalhadores ou os seus representantes devem ser envolvidos na elabora√ß√£o das pol√≠ticas de tratamento de dados pessoais
  • No caso de dispositivos propriedade dos trabalhadores n√£o √© permitida a monitoriza√ß√£o permanente das comunica√ß√Ķes (BYOD)
  • Aplicar o princ√≠pio da proporcionalidade que exige que seja sempre escolhida pelo empregador a forma menos intrusiva de tratar os dados
  • O empregador n√£o pode aceder a dados de sa√ļde recolhidos por dispositivos oferecidos ou disponibilizados aos trabalhadores
  • N√£o se deve recorrer √† utiliza√ß√£o de tecnologias de reconhecimento facial para an√°lise de ambiente de trabalho (n√£o respeita o princ√≠pio da proporcionalidade)
  • A utiliza√ß√£o de tecnologia GPS em ve√≠culos dever√° permitir a sua desativa√ß√£o se o ve√≠culo puder ser utilizado para fins privados

Tamb√©m para estar em conformidade com o RGPD √© fundamental implementar v√°rias medidas que cumpram os princ√≠pios da seguran√ßa e prote√ß√£o de dados ‚Äúby default & by design‚ÄĚ: minimiza√ß√£o de dados, pseudoanonimiza√ß√£o, transpar√™ncia e melhoria cont√≠nua de sistema e recursos de seguran√ßa da informa√ß√£o, por isso n√£o ser√° demais lembrar algumas medidas a tomar em termos de sistemas de informa√ß√£o:

  • Fornecer pastas de rede e ser obrigat√≥rio uma pol√≠tica que limita o armazenamento de documentos em computadores port√°teis, postos de trabalho, tablets e dispositivos m√≥veis
  • Todos os dados importantes nos computadores port√°teis, de secret√°ria, tablets e dispositivos m√≥veis, em redes de comunica√ß√£o, nos smartphones ou em armazenamentos externos devem estar encriptados
  • Realizar DPIA (Avalia√ß√£o de Impacto sobre a Privacidade) nos tratamento com recurso √† biometria ou √† CCTV
  • Documentos a ter em conta (artigo 13.¬ļ do RGPD): Direito √† informa√ß√£o atrav√©s do contrato de trababalho ou adenda e sempre que aplic√°vel, acordo de confidencialidade
  • Estabelecer, com os Subcontratantes,¬† Acordos de Tratamento de Dados com as clausula-tipo do artigo 28.¬ļ
  • Se aplic√°vel, estabelecer com os outros respons√°veis pelo tratamento,¬† Acordos de Tratamento de Dados na conformidade com os artigos 4.¬ļ e 26.¬ļ do RGPD
  • Documentar as transfer√™ncias internacionais de dados

E por √ļltimo, uma quest√£o: no seu departamento RH est√£o dispon√≠veis trituradores de papel e h√° uma pol√≠tica aplic√°vel √† tritura√ß√£o de documentos que contenham dados pessoais dos candidatos e dos colaboradores?

Como saber mais:

Contacte a Controlgal Consulting: Promovemos a√ß√Ķes de forma√ß√£o planeadas de acordo com¬† as caracter√≠sticas e as necessidades de cada Organiza√ß√£o.¬† Atrav√©s do servi√ßo de auditoria, as Organiza√ß√Ķes poder√£o verificar a sua conformidade com a legisla√ß√£o de prote√ß√£o de dados e identificar eventuais situa√ß√Ķes de n√£o conformidade.

EDPB_Guidelines

RGPD / GDPR – Direito ao apagamento dos dados (‚Äúdireito de ser esquecido‚ÄĚ)

RGPD / GDPR – Direito ao apagamento dos¬†dados (‚Äúdireito de ser¬†esquecido‚ÄĚ)

A nova lei está em vigor desde 27/04/2016 e será aplicável a partir de 25/05/2018. As empresas têm que preparar-se para estarem em conformidade com a nova lei sob pena de sofrerem pesadas coimas. Este espaço temporal de 2 anos, entre a entrada em vigor e a aplicabilidade, é um período de transição concedido às empresas para detalhar e implementar todos os processos de conformidade com o RGPD. Estes passos serão fundamentais para poder cumprir as novas exigências na recolha e tratamento de dados pessoais.

Hoje destaco o direito ao “esquecimento” , ou seja, quando um cidad√£o solicita que a sua informa√ß√£o de dados pessoais seja removida ou apagada. A organiza√ß√£o tem um prazo de um m√™s para apagar os dados pessoais de todos os suportes automatizados e n√£o automatizados.

Como fazer? E na quest√£o laboral, como resolver esta quest√£o? Vou apagar todos os dados do trabalhador? E ent√£o, os testes psicot√©cnicos s√£o dados de sa√ļde, com tratamento especial e com coimas mais elevadas por n√£o conformidade no tratamento? E estatisticamente fico sem esta informa√ß√£o dos trabalhadores? E os trabalhadores que manuseiam estes dados t√™m que ter forma√ß√£o obrigat√≥ria? E vou apagar os dados nos backups? (…)

Pois √©, a conformidade com este direito tem gerado grandes desafios nas empresas onde tenho prestado servi√ßos de forma√ß√£o RGPD ou servi√ßos de implementa√ß√£o RGPD. Porqu√™? Porque n√£o se cinge a quest√Ķes legais e IT, mas √† gest√£o de processos de neg√≥cio. Eu posso ajudar neste caminho rumo √† conformidade plena com o RGPD.

Carlos Silva

RGPD, o DPO e o risco IT: reduzir o risco criando uma cultura de segurança e conformidade….

Embora seja uma d√ļvida que se tem colocado, nos termos do RGPD √© claro que uma das compet√™ncias do DPO est√° relacionada com gest√£o TI, infraestrutura de TI e auditorias de SI, e s√≥ um profissional experiente nestas mat√©rias poder√° estar em posi√ß√£o de desempenhar as fun√ß√Ķes de DPO, baseada obrigatoriamente numa ampla experi√™ncia nesta √°rea de especializa√ß√£o.

 

Abordando o tema risco / TI, o considerando 77 e os artigos 39¬ļ-2 e 35¬ļ-2 exigem que o DPO forne√ßa orienta√ß√Ķes sobre avalia√ß√Ķes de risco, contramedidas e avalia√ß√Ķes de impacto de prote√ß√£o de dados. Assim, o DPO deve ter experi√™ncia significativa em avalia√ß√£o de riscos de privacidade de dados, seguran√ßa da informa√ß√£o e mitiga√ß√£o, incluindo experi√™ncia pr√°tica significativa em avalia√ß√Ķes de privacidade, certifica√ß√Ķes de privacidade e certifica√ß√Ķes de padr√Ķes de seguran√ßa de informa√ß√£o.

O artigo 32 do RGPD define os requisitos para a seguran√ßa do processamento. Em contraste com o quadro legal em vigor at√© 25 de maio de 2018, o sistema para determinar as condi√ß√Ķes t√©cnicas e medidas organizacionais √© agora explicitamente baseada numa avalia√ß√£o dos riscos identificados. Uma avalia√ß√£o e a ado√ß√£o de medidas baseadas nos riscos n√£o √© novidade para as empresas, por exemplo, muitas j√° possuem um sistema de gest√£o de risco para mapear riscos de seguran√ßa da informa√ß√£o.

O n.¬ļ 1 do artigo 32.¬ļ do RGPD exige que o respons√°vel pelo tratamento e o processador assegurem que s√£o tomadas as salvaguardas para proteger os dados pessoais.

Em princípio, os processos relacionados ao risco são muito semelhantes. Um procedimento de risco de proteção de dados pode ser o seguinte:

  1. ‚ÄúCriar o contexto‚ÄĚ ou ‚Äúdefinir o √Ęmbito‚ÄĚ
  2. Identificar riscos
  3. Analisar riscos
  4. Avaliação de riscos
  5. Gest√£o de riscos
  6. Monitorização de riscos

Estes seis passos da gest√£o de risco podem ser implementados de forma muito diferente na pr√°tica, dependendo no √Ęmbito e m√©todo utilizado. O RGPD n√£o prescreve um m√©todo para an√°lise de risco e ser√£o m√©todos quantitativos, qualitativos ou mesmo formas mistas que devem ser usados para determinar as medidas para garantir um n√≠vel adequado de seguran√ßa da informa√ß√£o.

Esta √© uma das etapas do processo Risk Assessment & Data Protection Impact Assessment relacionada com a seguran√ßa dos sistemas de informa√ß√£o e √© um tema que em breve irei desenvolver com mais detalhe nas minhas a√ß√Ķes de forma√ß√£o.

Neste artigo e no cap√≠tulo da seguran√ßa, destaco um dos focos do DPO, que deve estar voltado para o ‚Äúelo mais fraco‚ÄĚ na cadeia da prote√ß√£o de dados: os colaboradores das organiza√ß√Ķes.

 

Um dos fatores com maior peso na proteção da infraestrutura e na segurança da informação passa por criar uma cultura de segurança na organização. E neste aspeto de alteração de comportamentos, o DPO tem igualmente um papel fundamental ao ser responsável pela formação dos colaboradores em boas práticas de modo que estes estejam cientes das responsabilidades na confidencialidade, integridade e segurança dos dados.

O estado da ciberseguran√ßa das organiza√ß√Ķes √© tudo menos est√°tico e as novas tecnologias alcan√ßam todos os colaboradores. Por aus√™ncia ou desconhecimento de normativos internos ou por m√° aplica√ß√£o dos mesmos, o erro humano representa uma percentagem muito significativa nos incidentes e nas viola√ß√Ķes de dados ocorridos nas organiza√ß√Ķes. A forma de endere√ßar este aspeto, √© o DPO definir programas de sensibiliza√ß√£o e forma√ß√£o para a generalidade dos colaboradores, de forma a adequar comportamentos, fomentar a consci√™ncia e aumentar o conhecimento de todos os colaboradores nas mat√©rias relacionadas com prote√ß√£o de dados pessoais.

Para terminar, um bom principio para todos: ligue-se a sítios com URL https://

RGPD e COBIT: implementando conformidade ao RGPD e os princípios do COBIT5

Para as empresas já com uma estrutura de governança sólida, a batalha de conformidade já está meia ganha. Para aqueles sem uma estrutura formal, o RGPD pode-se tornar um grande impulsionador para adotar uma governança TI.

Os frameworks de governança, e numa linguagem comum, são estruturas de boas práticas projetadas para serem adaptáveis para um ambiente específico em que operam e geralmente suportam o teste do tempo, isto é, são aplicáveis independentemente do ambiente externo em mudança e das mudanças em tecnologias, podendo assim ajudar a responder a requisitos regulamentares e de conformidade, fornecendo métodos repetitivos.

Estes frameworks de governança estão focados em fornecer valor, garantindo a entrega de benefícios, otimizando riscos e recursos.

Embora existam in√ļmeras estruturas no mercado aplic√°veis na implementa√ß√£o de um processo de conformidade ao RGPD, destaca-se uma ferramenta apropriada e √ļtil: COBIT.

Esta estrutura simplesmente conhecida como COBIT tem as suas origens baseadas na confidencialidade, integridade, disponibilidade e garantia de informa√ß√£o que corresponde exatamente com o requisito referido no considerando 49 do RGPD: ‚Äú(‚Ķ) disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais (‚Ķ)‚ÄĚ

A mais recente vers√£o COBIT 5 concentra-se nos princ√≠pios de governan√ßa e gest√£o TI e √© sem d√ļvida uma ferramenta fundamental na ado√ß√£o de boas pr√°ticas para a realiza√ß√£o de benef√≠cios, otimiza√ß√£o de riscos e otimiza√ß√£o de recursos, bem como, fornecer uma estrutura para governar e gerir o programa de implementa√ß√£o de conformidade ao RGPD.

Há que pensar RGPD como uma oportunidade. Embora manter a conformidade seja oneroso, é claramente a abordagem correta, porque a razão pela qual as empresas existem é para criar valor para as partes interessadas, e bem aplicado, o RGPD será um importante contributo para aumentar valor.

RGPD: Compreendendo o alcance – Passado, Presente e Futuro

‚ÄúWho controls the past controls the future. Who controls the present controls the past.‚ÄĚ George Orwell, 1984

Nos processos de implementa√ß√£o do Sistema de Gest√£o Privacidade de Dados(SGPD) para conformidade ao RGPD, tenho identificado que as empresas geralmente se concentram exclusivamente no conjunto de dados e nos tratamentos de dados pessoais que realizam atualmente. Nem sempre consideram as implica√ß√Ķes de compartilhar ou receber dados pessoais de terceiros. E sistematicamente os dados do passado n√£o s√£o identificados como relevantes para o processo de conformidade RGPD. S√≥ durante as discuss√Ķes com a equipa do cliente descubro a exist√™ncia de dados pessoais e tratamentos que n√£o foram considerados. Ao lidar com dados pessoais, √© preciso considerar os estados passados, presentes e futuros desses dados.

 

A avaliação de impacto de risco pode comprovar a conformidade com o RGPD?

A avaliação de impacto de risco pode comprovar a conformidade com o RGPD?

O regulamento exige que os respons√°veis pelo tratamento apliquem medidas adequadas para assegurar e comprovar a conformidade com o RGPD tendo em conta, entre outros, ¬ęos riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser vari√°veis¬Ľ (artigo 24.¬ļ, n.¬ļ 1).

A avalia√ß√£o de impacto de risco (AIPD) ou Privacy Impact Assessment (PIA) deve ser realizada para os tratamentos que apresentem riscos de viola√ß√£o de privacidade face √† sua natureza ou √Ęmbito das atividades desenvolvidas, permitindo que as entidades encontrem problemas nas fases iniciais de qualquer projeto, reduzindo os custos associados e danos √† reputa√ß√£o que podem acompanhar uma viola√ß√£o das leis e regulamentos de prote√ß√£o de dados pessoais.

Aqui destaco a import√Ęncia da obriga√ß√£o recair sobre os respons√°veis pelo tratamento, de realizarem uma AIPD, n√£o sendo a mesma da responsabilidade do Encarregado da Prote√ß√£o de Dados (EPD/DPO).

Uma √ļnica AIPD pode ser utilizada para avaliar m√ļltiplas opera√ß√Ķes de tratamento que sejam semelhantes em termos de natureza, √Ęmbito, contexto, finalidade e riscos e uma AIPD tamb√©m pode ser √ļtil para avaliar o impacto na prote√ß√£o de dados de um produto tecnol√≥gico, como por exemplo um programa inform√°tico gest√£o de RH, tanto na fase de desenvolvimento como na fase de implementa√ß√£o.

Uma vez que a realiza√ß√£o da AIPD implica a avalia√ß√£o do impacto das opera√ß√Ķes de tratamento, tem tamb√©m a vantagem de promover implicitamente o cumprimento do C√≥digo de Conduta estipulado no art.¬ļ 40 do RGPD.

RGPD / GDPR ‚Äď Data Controller VS Data Processor ‚Äď Quais as diferen√ßas e quais as responsabilidades?

RGPD / GDPR ‚Äď Data Controller VS Data Processor ‚Äď Quais as diferen√ßas e quais as responsabilidades?

Uma das quest√Ķes que tem gerado d√ļvidas nas organiza√ß√Ķes com as quais eu tenho trabalhado na implementa√ß√£o do novo Regulamento Geral de Prote√ß√£o de Dados (RGPD) √© a responsabilidade em rela√ß√£o aos dados pessoais que a ‚Äúnossa organiza√ß√£o armazena, mas que s√£o processados pelos nossos clientes‚ÄĚ. No √Ęmbito do novo RGPD, levanta-se a quest√£o, quais as responsabilidades dessas organiza√ß√Ķes?

O novo regulamento (RGPD) será aplicado diretamente em cada país da União Europeia (EU) e a países não pertencentes à UE que armazenem dados pessoais dos cidadãos de países UE, permitindo assim consistência das regras entre os países sobre os direitos da privacidade dos cidadãos.

Data controller¬† e¬† Data processor ‚Äď O que significa?

De acordo com o artigo 4¬ļ do RGPD diferentes fun√ß√Ķes s√£o identificadas do seguinte modo:

  • Data controller (Controlador) – Qualquer organiza√ß√£o que decide como e porque √© que os dados s√£o processados. Considera-se a pessoa f√≠sica ou jur√≠dica, a autoridade p√ļblica, a ag√™ncia ou outro √≥rg√£o que, isoladamente ou em conjunto com outros, determina os prop√≥sitos e meios de processamento de dados pessoais.
  • Data Processor (Processador) – A pessoa singular ou coletiva, a autoridade p√ļblica, a ag√™ncia ou qualquer outro organismo que trate os dados pessoais por conta do respons√°vel pelo tratamento destes (subcontratante). Significa pessoa f√≠sica ou jur√≠dica, autoridade p√ļblica, ag√™ncia ou outro √≥rg√£o que processa dados pessoais em nome do controlador.

Assim, as organiza√ß√Ķes que determinam os meios de processamento de dados pessoais s√£o controladores, independentemente de recolherem diretamente os dados das pessoas em quest√£o. Por exemplo, um banco (controlador) recolhe os dados de seus clientes quando eles abrem uma conta, mas √© outra organiza√ß√£o (processador) que armazena, digitaliza e cataloga todas as informa√ß√Ķes produzidas pela entidade banc√°ria. Essas empresas podem ser Datacenters ou empresas de gest√£o e cust√≥dia de documentos. De acordo com RGPD, ambas as organiza√ß√Ķes (controlador e processador) s√£o respons√°veis ‚Äč‚Äčpelo tratamento dos dados pessoais desses clientes.

Quais s√£o as responsabilidades dos controladores?

De acordo com o artigo 5¬ļ do RGPD, o controlador deve ser respons√°vel e poder demonstrar o cumprimento dos princ√≠pios relativos ao tratamento de dados pessoais, sistematizando: legalidade, equidade, transpar√™ncia, minimiza√ß√£o de dados, precis√£o, limita√ß√£o de armazenamento, integridade, e confidencialidade.

Quais s√£o as responsabilidades dos processadores?

De acordo com o artigo 28.¬ļ do RGPD, o tratamento pode ser efetuado em nome de um controlador, mas este s√≥ deve subcontratar apenas os processadores que forne√ßam garantias suficientes de cumprimento do RGPD, isto √©, processadores que tenham evid√™ncias da implementa√ß√£o das medidas t√©cnicas e organizacionais adequadas de tal forma que o processamento satisfa√ßa os requisitos do regulamento.

Isto significa que, qualquer empresa da UE ou de fora da UE, como controlador ou processador, terá de implementar os controlos necessários para garantir que estes estejam em conformidade com o RGPD, porque a responsabilidade é de ambos e as multas podem ser aplicadas a ambos, aos controladores e processadores.

De acordo com o artigo 83.¬ļ, ser√£o aplicadas multas em rela√ß√£o ao “grau de responsabilidade do controlador ou do processador, levando em considera√ß√£o as medidas t√©cnicas e organizacionais implementadas por eles”.

RGPD / GDPR РPassagem de um regime de Hetero regulação para um regime de Autorregulação

RGPD / GDPR РPassagem de um regime de Hetero regulação para um regime de Autorregulação

No √Ęmbito da aplica√ß√£o do novo Regulamento Geral de Prote√ß√£o de Dados (RGPD) a partir de 25.05.2018 e no novo modo de relacionamento das empresas com a autoridade nacional de supervis√£o competente ‚Äď CNPD Comiss√£o Nacional Prote√ß√£o de Dados, podemos falar naquilo que chamamos uma mudan√ßa de paradigma. Iremos passar de um modelo de hetero regula√ß√£o para um modelo de autorregula√ß√£o.

Esta mudan√ßa coloca a todas as entidades, sejam elas organismos p√ļblicos ou empresas do setor privado, um novo de desafio na responsabilidade e na conformidade da prote√ß√£o e na privacidade dos dados pessoais das pessoas singulares.

Pela Lei de Proteção de Dados 67/98, em vigor até à aplicação do novo Regulamento, temos o modelo da heteroregulação, o que quer dizer que se uma empresa decidir fazer a recolha e o tratamento de dados pessoais tem como obrigação notificar a CNPD antes dessa recolha e respetivo tratamento, utilizando para isso os respetivos formulários disponíveis no site da autoridade.

Estamos a falar de situa√ß√Ķes como o caso da instala√ß√£o de sistemas de videovigil√Ęncia, ou controle dados biom√©tricos nos sistemas de controlo de acessos e nos sistemas de controlo de assiduidade, assim como num conjunto de outras situa√ß√Ķes, como por exemplo a geolocaliza√ß√£o, no controlo do uso da internet pelos colaboradores. Esta notifica√ß√£o tamb√©m abrange qualquer altera√ß√£o que ocorrer nesse tratamento.

Com o novo Regulamento √© eliminada essa obrigatoriedade de notifica√ß√£o. Por um lado podemos dizer que h√° um eliminar de uma fase burocr√°tica e administrativa, por outro lado, representa uma maior responsabilidade das organiza√ß√Ķes que realizam tratamentos de dados pessoais.

Ao fazer esta notifica√ß√£o √† CNPD, a empresa estava a conseguir uma decis√£o de conformidade ao dar as garantias dessa recolha e tratamento de dados por uma entidade externa, que ela mesma instalava e fiscalizava o sistema de coleta e tratamento dos dados. E se essa entidade fornecedora do sistema dizia que estava conforme, ent√£o as organiza√ß√Ķes estavam em conformidade e tranquilas a partir do momento que notificavam a CNPD.

Pelo novo Regulamento, s√£o as organiza√ß√Ķes que ter√£o assegurar, e demonstrar, que est√£o em conformidade com o RGPD. Portanto, h√° aqui um novo conjunto de obriga√ß√Ķes que ter√£o que ser asseguradas pelos respons√°veis pelo tratamento e pelos subcontratantes.

O Regulamento exige que os respons√°veis pelo tratamento apliquem medidas adequadas para assegurar e comprovar a conformidade com o RGPD tendo em conta, entre outros, ¬ęos riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser vari√°veis¬Ľ (artigo 24.¬ļ, n.¬ļ 1).

Neste sentido, o documento Privacy Impact Assessment (PIA) apresenta-se como o elemento principal para a conformidade com esta nova responsabilidade. Nesta avalia√ß√£o a organiza√ß√Ķes dever√£o descrever com detalhe, por exemplo, todas as opera√ß√Ķes de tratamento de dados pessoais. E este estudo tem que estar dispon√≠vel, porque num √Ęmbito de uma inspe√ß√£o, a CNPD vai solicitar esse reposit√≥rio. Nesta situa√ß√£o, a inexist√™ncia deste documento apresenta-se como uma agravante para a aplica√ß√£o de san√ß√Ķes.

Estamos assim a falar de um novo modelo de autorregulação e numa inversão do ónus da prova. Ou seja, antes teria que ser uma pessoa a comprovar que determinada entidade não cumpria a legislação da proteção de dados pessoais, com o novo modelo do Regulamento, terá que ser a organização a demonstrar e provar que cumpre o Regulamento e que nada fez de errado e que o tratamento está em conformidade. Daí se falar numa responsabilidade demonstrada.

Saiba como poder√° ajudar a sua organiza√ß√£o a dar o salto para a conformidade. Para uma avalia√ß√£o prim√°ria da situa√ß√£o atual face ao RGPD, an√°lise processual e tecnol√≥gica da empresa ou para assistir √†s pr√≥ximas sess√Ķes de forma√ß√£o e sensibiliza√ß√£o RGPD.

controlgal_RGPD_data_protection

RGPD: Guia para a segurança dos dados pessoais

Precau√ß√Ķes e a√ß√Ķes b√°sicas para implementar e garantir um n√≠vel m√≠nimo de seguran√ßa dos dados pessoais da sua organiza√ß√£o

A proteção dos dados pessoais exige a adoção de medidas técnicas e organizativas adequadas para assegurar um nível de segurança adaptado ao risco.

Essa abordagem permite uma tomada de decisão objetiva e a determinação de medidas estritamente necessárias e adaptadas ao contexto. No entanto, às vezes é difícil, quando não se está familiarizado com esses métodos, implementar essa abordagem e garantir que o mínimo tenha sido implementado.

Para ajudar os profissionais na conformidade com o Regulamento Geral de Prote√ß√£o de Dados (RGPD), reunimos neste documento algumas das precau√ß√Ķes b√°sicas que devem ser implementadas sistematicamente.

Este guia poderá ser usado como parte da gestão de risco, mesmo mínimo, consistindo em quatro etapas.

Mapear os dados pessoais ‚Äč‚Äče o media em que se baseiam:

  • hardware (exemplo: servidores, computadores port√°teis, discos r√≠gidos);
  • software (exemplo: sistema operativos, software de gest√£o ERP, CRM);
  • canais de comunica√ß√£o (exemplo: Internet);
  • suporte em papel (exemplo: documento impresso, fotoc√≥pia).

Avaliar os riscos gerados por cada tratamento:

  1. Identificar os impactos potenciais sobre os direitos e liberdades dos titulares afetados, para os seguintes três eventos:
    • acesso ileg√≠timo aos dados (exemplo: roubo de identidade resultante da divulga√ß√£o das folhas de pagamento de sal√°rios dos funcion√°rios de uma empresa);
    • modifica√ß√£o indesejada de dados (exemplo: acusa√ß√£o indevida de uma pessoa ap√≥s a modifica√ß√£o de logs de acesso);
    • desaparecimento de dados (exemplo: a n√£o dete√ß√£o de um diagn√≥stico devido √† impossibilidade de aceder ao registo de um doente).
  1. Identificar as fontes de risco (quem ou o que poderia estar na origem de cada evento?) РLevando em consideração fontes humanas internas e externas (exemplo: técnico de TI, utilizador, acesso externo indevido) e origens externas (exemplo: água, materiais perigosos, vírus informáticos).
  1. Identificar ameaças viáveis (o que poderia permitir que cada evento de ameaça ocorra?). Essas ameaças são realizadas através dos suportes de dados automatizados e não automatizados (exemplo: hardware, software, canais de comunicação, suporte de papel, etc.), que podem ser:
    1. mal utilizado (exemplo: abuso de direitos, erro de manipulação);
    2. modificado (exemplo: instalação de software malicioso);
    3. perdido (exemplo: roubo de um computador port√°til, perda de uma pen USB);
    4. observado (exemplo: screenshot);
    5. deteriorado (exemplo: degradação de um suporte lógico devido ao desgaste);
    6. sobrecarregado (exemplo: disco rígido cheio).
  1. Determinar medidas existentes ou planeadas que abordem cada risco (exemplo: controle de acesso, backups, rastreabilidade, seguran√ßa das instala√ß√Ķes, criptografia, anonimiza√ß√£o).
  1. Estimar a gravidade e a probabilidade dos riscos, com base nos elementos precedentes (exemplo: criar uma graduação para usar na estimativa).
  1. Implementar e verificar as medidas planeadas. Se as medidas existentes e previstas forem consideradas apropriadas, deve ser assegurado que elas sejam aplicadas e monitoradas.
  1. Realizar auditorias de segurança periódicas.Cada auditoria deve resultar num plano de ação que deve ser implementado.

Carlos Silva

Certified Data Protection Officer

Membro da  APDPO ‚Äď PORTUGAL ‚Äď Associa√ß√£o dos Profissionais de Prote√ß√£o e de Seguran√ßa de Dados

RGPD - Accountability

RGPD РProva e Evidência de Cumprimento (Accountability)

RGPD / GDPR РProva e Evidência de Cumprimento (Accountability)

O regulamento exige que os respons√°veis pelo tratamento apliquem medidas adequadas para assegurar e comprovar

Um cliente perguntou-me: ‚ÄúAccountability √© para fazer o qu√™?‚ÄĚ ‚Äď Pois, √©‚Ķmuito trabalhinho! O Regulamento Geral de Prote√ß√£o de Dados (RGPD) exige que seja implementado um programa de conformidade capaz de monitorizar a conformidade em toda a organiza√ß√£o e demonstrar √†s autoridades de prote√ß√£o de dados e aos titulares dos dados que todos os dados pessoais est√£o em seguran√ßa. Identifiquei 39 artigos sob o RGPD que exigem a evid√™ncia de uma medida t√©cnica ou organizacional para demonstrar a conformidade. Daqui podem ser mapeadas

55 atividades que, se implementadas, podem produzir documenta√ß√£o que ajudar√° a demonstrar o cumprimento cont√≠nuo com obriga√ß√Ķes de conformidade. At√© 25/05/2018 n√£o vai ser f√°cil para as organiza√ß√Ķes!

Carlos Silva

1 2