Home / Publicações / O novo Regulamento da Protecção de Dados

O novo Regulamento da Protecção de Dados

Guia Completo no Jornal de Negócios

19/06/2017

O novo Regulamento da Protecção de Dados
Jornal de Negócios | 6/19/2017

O novo Regulamento da Protecção de Dados : Tudo o que muda com o regulamento Empresas precisam de soluções globais Perguntas e respostas das novas regras  
 
FILIPE S. FERNANDES  
 
'' É um regulamento complexo para o tecido empresarial dominado por PME e não é possível comprar uma solução chave na mão", refere Pedro Faustino, executive director da Axians. "Nesta questão não há uma bala de prata, que faça com que a empresa tenha um compliance perfeito", diz Ignacio Berrozpe, sales engineer da Thales. Estes dois especialistas participaram no painel "O GPS da Implementação do Novo Regulamento da Protecção de Dados" na conferência "O Novo Regulamento da Protecção de Dados" organizada pelo Jornal de Negócios, em parceria com a Axians, a CMS e a Thales. "As empresas recolhem muitos dados de que têm de extrair valor e os transformam numa vantagem competitiva. Não é um desafio apenas jurídico, processual, de organização, ou tecnológico. Se excluirmos uma destas dimensões estamos a ver o problema de uma forma muito redutora", refere o responsável da Axians. Pedro Faustino afasta o cenário de drama e da apologia do medo que o quadro sancionatório provoca: "Grande parte das organizações já tem parte deste trabalho feito. O tema da segurança dos dados pessoais e digitais não é um tema novo, por isso há organizações que já fizeram parte deste percurso." Falta o resto.  
 
Auditoria de dados  
 
"As empresas têm de se questionar como é que fazem a protecção de dados, que tecnologias têm, como vão cumprir os aspectos legais e de compliance", refere Ignacio Berrozpe. "Esta regulação toca em vários aspectos pois tem a ver com a protecção de dados, mas também de uma forma mais geral com segurança dos dados e envolve vários objectivos e funções da empresa." A abordagem começa por entender a cadeia de valor da organização de acordo com a missão a que se propõe, refere Pedro Faustino. Depois tem de se perceber os processos que suportam essa cadeia de valor e só depois ver que dados é que estão por trás desses processos. "A medida que vamos percorrendo esta cadeia e estas fases vamos afunilando o problema e ver se há dados ou processos a que se aplique este regulamento", explica Pedro Faustina No final faz-se a cartografia da informação, o que é que se tem do ponto de vista de dados, o que são, como é que entram e saem, o que é que acontece dentro da empresa.  
 
"Depois vemos quais são os riscos associados à perda daquela informação, e que impacto é que têm, o que depende do grau de profundidade dos dados pessoais detidos e conforme o tipo de impactos assim se aplicam medidas diferentes", conclui o especialista da Axians. No final surge a recomendação sobre a aplicação a este universo de dados de um conjunto de processos e regras de tratamento e um conjunto de medidas de natureza tecnológica que se podem revelar necessárias para garantir que existe protecção de dados.  
 
Segurança e credibilidade  
 
"O regulamento é mais do que uma moldura legal, é uma mudança de abordagem à questão da segurança e da privacidade dos dados pessoais. Este regulamento é uma coisa boa porque também a acrescenta à economia digital a dimensão da segurança e, portanto, da credibilidade das organizações", acentua Pedro Faustino. Foram incluídas entidades que não estavam abrangidas pela directiva, como por exemplo os subcontratantes,os business processers. Por outro lado, as entidades que não estão estabelecidas no Espaço Económico Europeu (que inclui a União Europeia e países como a Noruega, a lslândia e o Liechtenstein) podem, em certas situações, ser sujeitos à aplicação deste regulamento. "Para isso é necessário que essas entidades tratem de dados pessoais de residentes na União Europeia em conexão com bens ou serviços que são oferecidos aos mesmos ou quando exista um controlo dos comportamentos dos cidadãos sitiados no Espaço Económico Europeu", refere João Leitão Figueiredo, advogado da CMS Rui Pena & Arnaut. Mantém-se um conjunto de excepções e continuam a ser actividades que não estão abrangidas pelo regulamento como tratamentos de dados para fins criminais, controlo de actividades de segurança pública, tratamentos para fins exclusivamente domésticos ou pessoais.  
 
 
O provedor da protecção de dados  
 
Esta figura do encarregado da protecção de dados não tem uma definição jurídica específica, mas tem uma importância fulcral para um conjunto significativo de empresas. "Aparentemente o DPO (Data Protection Officer ou Encarregado de Protecção de Dados) não é uma figura obrigatória para 90% das empresas", diz João Leitão Figueiredo. Um dos grupos de trabalho emitiu uma série de "guidelines" sobre as funções do DPO e quais as empresas que deveriam ter; não chegou a uma conclusão definitiva, por isso "nos 'guidelines' aconseIha-se as empresas, em caso de dúvida, a nomearem um DPO". Até porque "tradicionalmente a protecção de dados estava longe de ser uma prioridade e o que este regulamento faz é pegar numa questão não prioritária e transporta-a para o topo das preocupações da empresa, porque o DPO passa a reportar ao nível mais elevado de uma empresa", conclui o advogado da CMS Rui Pena & Arnaut.  
 
Apesar de haver pouca rigidez jurídica sobre esta figura, ela é absolutamente essencial, até pelas suas funções, havendo alguma margem para as empresas criarem o posto. O artigo 37 do regulamento enuncia apenas três situações em que o encarregado da protecção de dados é obrigatório. As entidades públicas - excepto os tribunais no exercício das suas funções jurisdicionais -, quando a actividade principal da empresa, mesmo que seja por subcontratação, seja o tratamento de dados em grande escala ou quando tenham como actividade principal o tratamento em grande escala de categorias especiais de dados e de dados pessoais relacionados com condenações penais e infracções. "Em alguns países inclinam-se para tornar esta obrigatoriedade genérica, como a Alemanha" diz João Leitão Figueiredo.  
 
O DPO serve de intermediário entre as várias entidades com as quais as empresas se vão relacionar como as autoridades de controlo, os trabalhadores, os clientes, os parceiros, e a estrutura de gestão. "O DPO terá poderes reforçados, e é obrigação das empresas apreenderem algo que é fundamental. O DPO pode ser ou não um trabalhador da empresa, conforme a opção da empresa, mas tem de ser garantido ao mesmo um grau de independência na execução das suas funções" alerta João Leitão Figueiredo. Não existe em termos legais uma proibição em relação à acumulação de cargos na empresa. Mas existem pistas do modo como deve ser interpretado o DPO e o espírito não é o da acumulação de cargos que gerem conflito de interesses. Esta é uma figura que "tem funções técnicas, legais e de gestão" refere Ignado Berrozpe, sales engineer da Thales. Tem de fazer o mapeamento dos dados, definir as políticas de protecção de dados, implementar e monitorizar a protecção, fazer "assessment" sobre a utilização e o funcionamento do sistema, auditoria sobre o mesmo, e implementar soluções para as falhas detectadas pela auditoria e comunicar com as autoridades.  
 
 
O consenso que muda  
 
"O consentimento do titular dos dados deverá ser dado mediante um acto positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, como por exemplo mediante uma declaração escrita, inclusive em formato electrónico, ou uma declaração oral é o que está escrito no Regulamento Geral de Protecção de Dados. Houve pois um acréscimo dos requisitos para o consentimento. O regulamento tentou eliminar alguns dos erros que foram detedados na vigência de duas décadas da directiva. "Afigurado consentimento tem uma relação muito directa com a transparência, que surge reforçada ao longo do articulado", diz João Leitão Figueiredo Para tratar dados pessoais, as empresas têm de prestar muito mais informações ao titular dos dados. Têm de explicar o tipo de dados a recolher, tempo de armazenamento, os fins a que se destinam, se há tratamento automatizado, se são transferidos para outras entidades ou para fora do espaço económico europeu. Há um acréscimo de responsabilidade em que as empresas têm de considerar mecanismos alternativos para a recolha e tratamento de dados como por exemplo o contrato, que tem de ser feito em linguagem mais comum pois, caso contrário, leva à nulidade do mesmo.  
 
 
80% das empresas "ignoram" novo regulamento  
 
Estudo da CIP refere que as empresas ainda não estão sensibilizadas nem se estão a preparar para a entrada em vigor do regulamento de protecção de dados em 25 de Maio de 2018. E as sanções são pesadas.  
 
''Um estudo feito pela CIP refere que mais de 80% das empresas ainda não desenvolveram qualquer actividade para se adaptarem a este novo regulamento, a um ano da sua entrada em vigor. Não é só o facto de deixar para a última hora, de facto não estão sensibilizadas para a necessidade de o fazer", disse Armindo Monteiro, vice-presidente da CIP, durante o painel "Os dados sectoriais do novo regulamento" na conferência "O Novo Regulamento da Protecção de Dados", organizada pelo Jornal de Negócios, em parceria com a Axians, a CMS e a Thales. "A própria associação acordou um pouco tarde para o tema", reconheceu Cristina Siza Vieira, presidente executiva da Associação de Hotelaria de Portugal. "Nem houve qualquer movimento por parte dos quase 700 associados nem das consultoras." Além disso, o quanto custa ainda não chegou para assustar um pouco mais. Panorama diferente é o da distribuição. "Este sector gere muitos dados e as empresas já estão a tomar um conjunto de medidas para quando o regulamento entrar em vigor não serem apanhadas de surpresa", referiu Ana Isabel Trigo Morais, directora-geral da APED.  
 
Modelo de regulação muda  
 
Ana Isabel Trigo Morais considera que é necessário um novo quadro regulatório, mas que não se deveria cair na sobre-regulação "que depois não permita às empresas serem competitivas e sobretudo com os grandes blocos económicos de competitividade como o americano e asiático, que no comércio electrónico está bastante mais à frente da Europa". Armindo Monteiro, que também é empresário na área das tecnologias, sublinhou a relação entre a protecção de dados e a segurança. "Fazer a transformação de dados em informação levou muitos anos, tinha inicialmente objectivos fiscais. Não havia uma cultura nas empresas de valorização da informação. Com a sofisticação dos negocias em Portugal, a informação passou a ser um activo e surgiram os problemas como o uso indevido da informação. E se tem valor pode ser roubado." Acrescentou que "este é o problema: as empresas não protegem ainda a informação e não têm nenhum sistema de protecção dos sistemas de informação".  
 
"A alteração do modelo de hetero-regulação para auto-regulação é uma das maiores preocupações das empresas de retalho", afirmou Ana Isabel Trigo Morais. Uma empresa para licenciar, por exemplo, uma base de dados com informações sobre os cidadãos e consumidores, fazia o pedido à CNPD e aguardava pela validação. Agora não há uma validação prévia e as empresas vão passar a ter uma obrigação de "compliance" acrescida. "Mas levanta outra preocupação porque estamos muito habituados a que muitas vezes os reguladores que nos fiscalizam tenham diferentes entendimentos e critérios de adequação quando realizam as suas fiscalizações."  
 
O direito ao esquecimento  
 
Armindo Monteiro referiu ainda o receio de como vai ser aplicado o quadro sancionatória "Os empresários esperam que haja um sentido pedagógico em de vez de um meramente sancionatória" Foram ainda enunciados problemas como a falta de recursos especializados nas empresas, a necessidade de desenvolver mecanismos de dar resposta aos cidadãos e aos consumidores, nomeadamente quando têm de aplicar o direito ao esquecimento e quando têm de explicar na sua relação com os clientes como é que estão a utilizar os dados. Para Ana Isabel Trigo Morais, as empresas vão fazer grandes investimentos pois terá de haver, em muitos casos, "call centers", funcionários formados para informar e responder aos clientes e um controlo maior sobre dados pessoais obtidos indirectamente.  
 
 
 
O caso prático da hotelaria  
 
Não há soluções "one size fits all", pois a hotelaria é multifacetada. Por isso, a Associação de Hotelaria de Portugal desafiou dois parceiros com competências jurídicas, técnicas e tecnológicas para fazer uma matriz para ser usada por todos.  
 
Há 75 anos, António Ferro, criador do conceito de Pousadas, dizia que quando estas deixassem de conhecer o cliente pelo nome, mas pelo número do quarto perdiam a sua essência. Hoje a hotelaria quer saber tudo sobre ele para lhe poder prestar o serviço e diferenciá-lo. "Todas as indústrias e todos os produtores de bens e serviços querem conhecer o cliente, mas a hotelaria e o turismo querem conhecê-lo em 360 graus e até um grande grau de intimidade, porque ajuda à diferenciação e isto significa cruzar muita informação", referiu Cristina Siza Vieira, presidente executiva da Associação de Hotelaria de Portugal. Este regulamento tem impacto no turismo em termos internos e internacionais, porque as empresas turísticas estão vocacionadas para o exterior. "Mas há forças de tracção opostas", como explicou Cristina Siza Vieira. Há um grande peso de PME, cerca de 90%, a quem este novo regulamento pouco diz. O seu core business não são os dados e vivem sobretudo das "online travellers agency", como a Booking. Depois existem os grupos nacionais e internacionais que estão preparados para implementar e absorver estas regras.  
 
Hotéis recolhem dados oficiais  
 
Os hotéis estão obrigados a recolher dados e a facultar dados a autoridades públicas (SEF, INE e Banco de Portugal) que vão da nacionalidade dos seus hóspedes, idade, se viajam em família, quantos é que são. Há dados pessoais e outros até sensíveis, como a questão das alergias, etc A questão agora é a adaptação do novo regulamento. "Sente-se que não há soluções 'one size fite all', e estamos agora a dar os primeiros passos para partir este elefante às fatias e fazer um mapeamento", diz Cristina Siza Veira. Por isso, a Associação de Hotelaria de Portugal desafiou duas entidades com competências jurídicas, técnicas e tecnológicas, que conhecem o sector, para encontrar uma matriz mais adaptável para que cada hotel possa fazer primeiro o levantamento da recolha de dados.  
 
Neste incluem-se os momentos em que recolhe dados, quais os suportes, o tipo de dados, onde os guarda, para que efeito é que recolhe. Depois poder propor aos associados um orçamento para acompanhar este processo, o "road compliance" até ao final. Tudo para que, como é timbre do sector, esteja pronto na data certa. "O turismo é caracterizado pelo 'last minute'", admite Cristina Siza Vieira A cultura da organização tem de mudar e isso é muito perturbador porque a cultura da organização tem sido conhecer melhor o cliente e cruzar da a informação. "A cultura tem de ser mudada, mas sem perder o conhecimento do cliente que é a alma da hotelaria", remata Cristina Siza Vieira.  
 
O atraso dos municípios  
 
"Os municípios estão mais atrasados na aplicação do Novo Regulamento de Protecção de Dados do que as empresas porque vão ter outras grandes alterações este ano", disse Bartolomeu Noronha, presidente do Observatório dos Municípios com base num inquérito feito junto dos 308 municípios e em que 90% revelavam não estar preparados para esta mudança. Em 1 de Julho entra em vigor o novo Código da Contratação Pública, que entre outras inovações cria o gestor de contrato e está prometida a descentralização de competências do Estado central, que se deve incluir o cadastro do território, para as autarquias ainda este ano. Estas duas alterações vão ter impacto na implementação do regulamento. Bartolomeu Noronha sublinhou o problema de quanto é que vai custar esta adaptação e que recursos são aportados às entidades públicas. Salientou ainda que os autarcas têm uma responsabilidade acrescida à das empresas que é a política. "Se as coisas correrem mal, a responsabilidade política é elevada e podem perder-se eleições por má protecção dos dados dos cidadãos de uma autarquia."  
 
 
Um regulamento para todas as empresas  
 
O princípio basilar do novo regulamento, que entra em vigor a 25 de Maio de 2018, é que o nível de protecção dos direitos e liberdades das pessoas singulares na recolha, tratamento e protecção de dados deve ser e terá de ser equivalente em todos os Estados-membros.  
 
''O Novo Regulamento Geral de Protecção de Dados destina-se a todas as empresas sem qualquer exclusão", disse José Luis Arnaut, managing partner da CMS Rui Pena & Arnaud na sessão de abertura da conferência "O Novo Regulamento da Protecção de Dados", organizada pelo Jornal de Negócios, em parceria com a Axians, a CMSe a Thales. "Hoje apenas uma reduzida percentagem de cidadãos europeus não se encontra conectado à rede global, dono de uma pegada digital. A presença no 'social media', a forma como a empresa trata os dados dos seus colaboradores, comunica com os clientes ou compra, torna a partilha de dados pessoais algo incontornável numa sociedade moderna", referiu José Luís Arnaut.  
 
Este predomínio actual de protecção dos dados é uma das questões-chave", referiu Armin Kruse, que aliás referiu que o seu grupo, como multinacional e pela sua dimensão,está a experienciar o processo de adaptação de homogeneização dos dados pessoais dos seus colaboradores. Pedro Afonso chamou a atenção para a simbiose e a interacção entre o mundo digital e o humano. Usou a analogia dos servidores de sílica para a tecnologia e os servidores de carbono para o humano. "Uns guardam, transportam dados que depois são transformados em informação, as pessoas tomam todos os dias decisões, às vezes são os algoritmos, com essas máquinas." Por isso, a adaptação a este novo regulamento vai exigir às empresas um trabalho em rede e colaborativo com escritórios de advogados, consultores e empresas tecnológicas.  
 
O princípio basilar do regulamento  
 
O princípio basilar do novo regulamento é que o nível de protecção dos direitos e liberdades das pessoas singulares na recolha, tratamento e protecção de dados deve componentes técnicas e tecnológicas justificou este novo regulamento geral sobre a protecção de dados. 'Mais do que uma lei é uma necessidade e um direito", sublinhou Pedro Afonso, CEO da Axians, porque "a protecção de dados afecta todas as pessoas e a segurança é um pilar na nossa vida e em tudo o que fazemos". Armin Kruse, marketing director da CIC e expert no GDPR e Vormetric da Thales, defende que a protecção dos dados não é cibersegurança. "A protecção de dados é sobre informação e dados de indivíduos, a cibensegurança é a protecção dos sistemas de segurança em relação a ataques,têm stakeholders e objectivos diferentes, embora as soluções sejam semelhantes."  
 
A Thales é líder europeia em cibersegurança e em segurança de sistemas e, portanto, a "questão da ser e terá de ser equivalente em todos os Estados-membros, salientou José Luís Arnaut O Novo Regulamento Geral de Protecção de Dados entrou em discussão em 2012 para substituir a Directiva 95/46/CE. O regulamento constitui uma das mais amplas peças legislativas aprovadas na União Europeia. E um documento com mais de 100 páginas de articulados, tem um conjunto de conceitos inovadores como o direito a ser esquecido, a portabilidade dos dados,a notificação de violação de dados e a prestação de contas. "Há mão pesada para os que dirigem as empresas quando não executarem nem responderem a estas novas exigências", alertou Arnaut. Nas violações de natureza formal, as coimas vão até dez milhões de euros ou, no caso de empresas, até 2% do seu volume de negocias anual a nível mundial correspondente ao exercício anterior. Nas violações de disposições de natureza material, a coima vai até 20 milhões de euros ou, no caso de uma empresa, até 4% do seu volume de negócios anual a nível mundial no exercício anterior.  
 
 
Estado tem de ser exemplo  
 
Jaime Quesado, presidente da ES-PAP, sublinhou que "na 'data economy actual a importância dos dados é fulcral" e que na aplicação da legislação comunitária e nacional "há um benchmark internacional que temos de ter em atenção". "A administração publica e o Estado têm de dar o exemplo de cumprimento da lei, mas também de referencial de utilização do novo regulamento", afirmou o presidente da ESPAP. Jaime Quesado referiu-se às questões relacionadas com a organização interna e responsabilidade da governação,referindo que "independentemente das sanções a que os administradores e gestores vão ficar sujeitos a partir do próximo ano, há necessidade de melhoria dos circuitos internos que são absolutamente centrais". Destacou a importância de interfaces como associações empresariais, escritórios de advogados, e consultoras, para as PME, que têm mais dificuldades na adaptação ao novo contexto. Falou dos desafios muito importantes do ponto de vista de defesa dos direitos dos cidadãos, do relacionamento com os stakeholders e do crescimento das próprias organizações. Destacou o desafio das equipas técnicas e de os administradores usarem a informação de forma estratégica, num contexto de uso mais regulado e mais cuidada.  
 
 
OPINIÃO  
João Figueiredo  
Advogado, CMS Rui Pena & Arnaut  
 
Com a aproximação do dia 25 de maio de 2018, data da entrada em vigor do novo Regulamento Geral sobre a Proteção de Dados, diversas organizações já começaram a considerar as etapas necessárias para a respetiva adaptação e implementação. Pese embora o modelo de implementação de um programa deva ser preferencialmente adaptado à realidade de cada organização, existem princípios em formadores e ações comuns que todas as organizações deverão considerar, sendo aconselhável a criação de um modelo exequível, prático e não disruptivo, baseado numa segmentação de atividades a desenvolver e não apenas na fase de análise e projeção, mas também na fase de concreta implementação.  
 
Perante a complexidade e abrangência das tarefas previstas no regulamento, o primeiro passo para as organizações deverá ser uma séria priorização das ações com base em fatores específicos da sua ativi-dade. Mas independentemente da natureza da sua atividade, as organizações devem promover um conjunto de atos significativos ao cumprimento do regulamento, entre os quais destacamos alguns: Contratos comerciais - As organizações que estiverem a negociar contratos com subcontratantes ("processors") deverão assegurar--se de que o novo contrato reflete as obrigações diretas dos subcontratantes nos termos do regulamento, compreendem as disposições obrigatórias revistas para contratos a celebrar com subcontratantes e os novos requisitos de notificação de violação de dados pessoais. Todos os contratos existentes com subcontratantes deverão, com a brevidade possível, ser revistos.  
 
Anonimização - Verifique se os dados anonimizados atendem aos requisitos mais rigorosos para a anonimização introduzidos pelo regulamento. Caso não cumpram, determine se esses requisitos podem ser atendidos e analise as implicações da aplicação do regulamento. Autoridade de controlo - Determine a localização do seu estabelecimento principal e, nessa medida, quem é sua principal autoridade de controlo. Desenvolva e implemente procedimentos adequados à realização de auditorias ou ações de fiscalização por parte das autoridades de controlo. Demonstração de conformidade - Considere o melhor mecanismo de demonstração de conformidade. Embora as políticas e processos escritos sejam cruciais, a exclusiva dependência de documentos, por norma extensos e que raramente são lidos ou seguidos na prática, poderá revelar-se insuficiente.  
 
Registo central de processamento de dados - Promova a criação de um registo central de todo o processamento de dados pessoais que contenha as informações obrigatórias do regulamento - a auditoria e o modelo de implementação devem auxiliar no preenchimento das informações necessárias. Avaliações de Impacto de Privacidade de Dados (DPIA) - Implemente processos para garantir que as DPIA são efetuadas nos termos do regulamento e implemente políticas para um uso mais amplo das DPIA, porquanto ajudarão a cumprir os requisitos gerais de responsabilidade do regulamento. Violação de dados - Desenvolva um procedimento detalhado de relatório de violação de dados e teste que funciona operacionalmente para permitir a conformidade com os requisitos de notificação do regulamento.  
 
Seguro - Verifique os termos de qualquer apólice de seguro relevante para determinar se são necessárias alterações. Formação - Certifique-se de que todos os que tenham acesso a dados pessoais recebem formação apropriada sobre o regulamento. O dia 25 de maio de 2018 aproxima-se inexoravelmente, pelo que as organizações deverão iniciar de imediato o seu processo de adaptação cultural ao novo paradigma, pois somente assim as alterações jurídicas, organizacionais e técnicas poderão ser efetuadas de forma não disruptiva e adequada e poupar as empresas à mão pesada que a Comissão Europeia terá no caso das empresas incumpridoras. Porque a tarefa é árdua e complexa, não é despiciendo a correta identificação de um modelo de implementação personalizado e profissional.  
 
 
O novo Regulamento Geral da Protecção de Dados  - FAQ
 
A menos de um ano da entrada em vigor do novo regulamento, as dúvidas são mais do que muitas. Aos participantes na conferência do Jornal de Negócios foi dada a possibilidade de colocar questões, aqui respondidas pelos especialistas nas várias áreas: a CMS Rui Pena & Arnaut, a Axians e a Thales.  
 
1. O que é um Encarregado de Protecção de Dados e quais as empresas que são obrigadas a terem esta figura?  
 
A figura do Encarregado de Protecção de Dados (DPO) é uma das mais relevantes inovações do novo regulamento. Um significativo número de organizações será obrigado a nomear um DPO e assegurar que este tem condições para o exercício das suas funções, como sejam: o apoio activo da administração; tempo suficiente para o cumprimento das suas tarefas; recursos financeiros, infra-estruturas (instalações, equipamentos) e pessoal, quando apropriado; comunicação oficial da designação a todos os funcionários e autoridade de controlo; acesso a outros serviços dentro da organização para que possam receber suporte, opiniões ou informações essenciais desses outros serviços, bem como formação contínua.  
 
Do ponto de vista das competências, o DPO deverá ter um profundo conhecimento da legislação e práticas nacionais e europeias de protecção de dados, incluindo uma compreensão aprofundada do regulamento, conhecimento das operações de processamento realizadas, conhecimento das tecnologias de informação e de segurança dos dados, conhecimento do sector empresarial e da organização e capacidade de promover uma cultura de protecção de dados dentro da organização. Note-se que, apesar dos DPO não se substituírem às empresas no que concerne à responsabilidade civil ou contra-ordenacional, serão um pilar essencial no cumprimento do regulamento e na criação de garantias para as organizações. (CMS Rui Pena & Arnaut)  
 
2. O conceito de portabilidade dos dados, por exemplo o das preferências, dos clientes estão realmente prontos no início de aplicação do regulamento para serem partilhados?  
 
Do que temos observado no nosso contexto nacional, diríamos que a maior parte das organizações ainda não estará pronta em Maio de 2018 neste tema. A questão da portabilidade de dados tem um factor muito importante para a sua boa operacionalização, o formato comum para a portabilidade dos dados. Essa é uma preocupação que cremos que deverá passar obrigatoriamente por uma concertação sectorial para acordarem um modelo e formato comum para a portabilidade desses dados. Percebemos que esse será um dos principais desafios deste regulamento para os sectores dos serviços essenciais (Utilities e Telcos), serviços financeiros e saúde. (Axians)  
 
3. No caso de uma base de dados com informação do domínio público, por exemplo nomes de profissionais de saúde/ n.° ordem profissional/especialização/local de trabalho, é necessário obter consentimento do titular dos dados/informá-lo de que temos esta informação?  
 
Do ponto de vista estritamente tecnológico e no que toca à componente da protecção de dados/encriptação dos dados pessoais em repouso nas bases de dados, será de destacar que a solução Vormetric da Thales permite a segregação de acesso em função do perfil de acesso concedido aquando da atribuição das políticas de acesso. O caso referido na pergunta é paradigmático, pois no caso de dados de saúde os mesmos possuem um cariz relevante e sensível, sendo portanto recomendável, senão necessário, assegurar o acesso "atomizado" aos dados em específico que a cada função cabe aceder para o exercício das suas funções, não obstante no global o dado pessoal ser o mesmo e provavelmente armazenado de forma única no mesmo registo,nocasodos pacientes. Assim, a cada profissional de saúde caberá aceder apenas aos dados pessoais do paciente que são relevantes para a sua função no exercício do seu contributo para o acto médico daquele paciente. (Thales)  
 
4. O que é a Avaliação de Impacto sobre Protecção de Dados (DPIA)? Que questões são tratadas no âmbito do DPIA? Que tipos de tratamento estão sujeitos a um DPIA? Como se deverá executar um DPIA?  
 
De acordo com a definição da Comissão Europeia, o DPIA (Data Privacy Impact Assessment - Avaliação de Impacto da Privacidade de Dados) é um processo destinado a descrever o processamento de dados privados, avaliar a necessidade e a proporcionalidade de um processamento dos dados e ajudar a gerir os riscos aos direitos e liberdades das pessoas resultantes do processamento de dados pessoais (avaliando-os e determinando as medidas para os abordar). O DPIA é uma avaliação de risco, que avalia o impacto da concretização de ameaças de privacidade de dados com a sua probabilidade de ocorrência, com o objectivo de serem identificadas estratégias de tratamento desses riscos num nível aceitável através de um racional de custo-benefício. (Axians)  
 
5. O que é que muda no que diz respeito ao consentimento dado pelos indivíduos e pelas empresas?  
 
O recurso ao consentimento para a recolha e tratamento de dados pessoais tem constituído uma prática recorrente em Portugal. As organizações têm privilegiado o consentimento como solução prática para assegurar a licitude do tratamento de dados pessoais de terceiros. O regulamento, contudo, veio criar barreiras adicionais às actuais práticas, e introduz regras muito mais rígidas às empresas quando se trata de obter o consentimento para recolha e tratamento de dados pessoais. As organizações são, assim, obrigadas a considerar mecanismos alternativos, como sejam o contrato com o titular dos dados, o cumprimento de uma obrigação jurídica, a defesa de interesses vitais do titular dos dados, o exercício de funções de interesse público ou os interesses legítimos do responsável pelo tratamento.  
 
Concretamente, a utilização de cabias pré-marcadas, o silêncio, a inactividade, o consentimento genérico ou obtenção do consentimento através determos e condições genéricas deixarão de ser permitidos, na medida em que qualquer dos referidos mecanismos deixará de configurar como um meio de demonstração do cumprimento dos requisitos de consentimento do regulamento. Caso, ainda assim, as organizações pretendam privilegiar o consentimento como fundamento para o tratamento de dados pessoais, as regras mudam e são mais exigentes: o consentimento deverá ser concedido de forma desagregada dos demais termos e condições; deverão ser utilizados mecanismos que indiciem práticas activas dos titulares dos dados; o consentimento deverá ser óbvio, granular e facilmente identificável; a linguagem adoptada, simples e concisa; o titular deverá estar identificado, bem como as organizações que terão acesso aos dados; o consentimento deverá estar documentado em permanência e ser, com a periodicidade possível, renovado; deverá ser concedido em situações de equilíbrio entre as partes; e, por fim, deverá ser facilmente revogável. (CMS Rui Pena & Arnaut)  
 
6. As empresas vão ser obrigadas a mudar os seus sistemas e a fazer uma nova recolha de dados?  
 
Do ponto de vista estritamente tecnológico e no quetoca à componente da protecção de dados/encriptação dos dados pessoais em repouso nas bases de dados, a solução Vormetric da Thales assegura que tal não será necessário, garantido uma continuidade nos processos sem quaisquer impactos para as empresas. E um sistema não intrusivo, "agnóstico" e não degradante da performance das infra-estruturas existentes (desde que estas estejam a operar abaixo dos 80% da sua capacidade). Assim, o processo de migração de um ambiente não protegido para um ambiente encriptado e protegido processa-se de forma suave, não disruptiva e sem perda de quaisquer dados ou contexto. Acresce que não serão necessárias adaptações nas bases de dados existentes e a encriptação e supervisão dos acessos às bases de dados, assim como, a sua protecção e monitorização são efectuadas pela solução Vormetric da Thales independentemente dos modelos, versões e fabricantes das bases de dados. (Thales)  
 
 
7. Como é que as PME podem adequar-se ao novo regulamento?  
 
O maior desafio para a conformidade com o novo regulamento será o nível de organização, gestão, controlo e estruturação dos seus dados, onde as organizações, independentemente da sua dimensão, que tiverem menores níveis de maturidade sobre a governação dos seus dados (físicos ou digitais), terão um maior esforço para conseguir atingir este nível de controlo e monitorização dos riscos de privacidade, bem como na operacionalização dos imperativos do regulamento ao nível processual sobre os direitos dos cidadãos europeus. A abordagem de estar em conformidade deverá ser a mesma seja qual for a dimensão da organização. Com algumas diferenças particulares em função da natureza do seu negócio (por exemplo, se necessita ou não de um DPO -Data Privacy Officer), o modelo funcional da organização, e o estado actual da gestão e controlo dos seus dados, que pode implicar técnicas distintas de inventariação e desenho dos fluxos de dados pessoais, bem como no desenho e implementação dos controlos de privacidade. (Axians)

Publicação
Jneg_19062017_ConferenciaNegociosCMS_PI_XI_1
Download
PDF 1,4 MB