NOVO REGULAMENTO DE PROTEÇÃO DE DADOS
Para que possa ocorrer  uma transição para o novo regime de forma correta, criteriosa e estruturada, dispomos de um serviço multidisciplinar de preparação para a adaptação ao Novo Regulamento que consiste numa intervenção que poderá ser efetuada, em conjunto ou individualmente, abarcando:

esquema3 
É imprescindível definir uma estratégia de compliance como forma de prevenir violações de tratamento de dados pessoais.

Encarregado de proteção de dados (Privacy Officer)
Quais as funções?

• Informar e prestar consultoria em matéria de proteção de dados
• Supervisionar o cumprimento das regras de proteção de dados
• Cooperar e ser o ponto de contato com as Autoridades de Proteção de Dados e com os Titulares dos dados

Quem pode ser Privacy Officer?

• Pode ser interno ou externo
• Pode nomear-se apenas um para um mesmo grupo de empresas ou de autoridades públicas
• Qualidades profissionais e conhecimentos de direito e da sua experiência em proteção de dados

Segurança da Informação

Aplicar medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco

• Pseudonimização, encriptação e ferramentas de DLP (Data Loss Prevention)
• Assegurar confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento
• Assegurar a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de incidente físico ou técnico
• Processos para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garante da segurança do tratamento

Notificações de violação de dados (Data Breaches)

Violação de dados: violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados, ou sujeitos a qualquer outro tipo de tratamento.

Quaisquer violações de dados pessoais devem ser documentadas, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada.

O responsável pelo tratamento notifica a autoridade de controlo competente da violação de dados pessoais até 72 horas após ter tido conhecimento da mesma. Caso este prazo não seja cumprido, a notificação deve ser acompanhada dos motivos do atraso.

O subcontratante deve notificar o responsável pelo tratamento sem demora injustificada, após ter conhecimento de uma violação de dados pessoais.


As avaliações de impacto sobre a proteção de dados

Quando se utilize no tratamento novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, e o mesmo for suscetível de implicar um elevado risco para os titulares dos dados.

• Avaliações sistemáticas e completas dos aspetos pessoais, baseada no tratamento automatizado (ex. definição de perfis) que produzam efeitos jurídicos no indivíduo
• Operações de tratamento em grande escala de categorias especiais de dados (dados sensíveis)
• Controlos sistemáticos de zonas acessíveis ao público em grande escala (ex. CCTV)

O que traz de novo

A adoção de medidas técnicas e organizativas adequadas, a fim de assegurar o cumprimento dos requisitos do presente regulamento, introduzindo novos princípios e conceitos que devem nortear os tratamento dos dados como a Privacy by design and by default ou a pseudonimização  dos dados;

• Obrigação de designar um Data Protection Officer (encarregado para a proteção de dados);
• Alteração das regras sobre obtenção de consentimento;
• Novas regras sobre consentimento de menores;
• Eliminação do sistema de notificações e autorizações;
• Implementação do direito ao esquecimento;
• Criação de obrigações acrescidas para os subcontratados;
• Obrigações de informação relativas a quebras de segurança;
• Coimas de valor muito elevado - incumprimento é punido por coimas que podem ascender  a 4% da facturação anual global ou a €20.000.000,00

 O Novo Regulamento de Proteção de Dados, publicado em 4 de Maio de 2016 com aplicabilidade em 25 de Maio de 2018, vem trazer uma nova visão sobre o Mercado Único Digital e implicará uma alteração ao actual paradigma das entidades que lidam e tratam com dados pessoais.

O Novo Regulamento aplica-se diretamente a todas as entidades públicas e privadas que tratem dados pessoais, alterando as obrigações descritas na atual LNPD, motivando as entidades a alterarem profundamente o seu modo de actuar em matérias de proteção de dados e privacidade.

topo2