Exemplos RGPD M3

Exemplos práticos

Avance!

Veja AQUI os passos a seguir

A Empresa XPTO decide implementar um sistema de videovigilância nas suas instalações para reforçar a segurança. Como este tratamento envolve a recolha de dados pessoais (imagens dos funcionários e visitantes), é necessário realizar uma Avaliação de Impacto sobre a Proteção de Dados para garantir que o tratamento respeita o RGPD e para identificar possíveis riscos aos direitos e liberdades dos titulares dos dados.

Vamos ver um exemplo sobre Implementação de Câmaras de Videovigilância numa Empresa.

Avaliação de impacto sobre a proteção de dados artº 35º RGPD

A Avaliação de Impacto sobre a Proteção de Dados (AIPD), conforme o artigo 35º do Regulamento Geral sobre a Proteção de Dados (RGPD), é uma análise que deve ser realizada quando um tratamento de dados pessoais pode apresentar um risco elevado para os direitos e liberdades das pessoas. A AIPD visa identificar, avaliar e mitigar esses riscos. Carregue nos ícones da imagem ao lado.

Segurança da Informação: A empresa adota medidas técnicas para proteger as gravações, como encriptação, controlo de acesso e registos de quem acede aos dados. Minimização de Dados: As imagens são mantidas apenas durante 30 dias, após os quais são automaticamente eliminadas, salvo em caso de investigação de incidentes. Política de Transparência: Os funcionários e visitantes são informados de forma clara sobre o propósito da videovigilância e seus direitos em relação aos dados recolhidos. Análise contínua dos riscos: A empresa compromete-se a rever regularmente as suas práticas de videovigilância para garantir que continuam a ser adequadas e proporcionais.

Risco de vigilância excessiva: Monitorização constante pode ser vista como uma violação do direito à privacidade. Risco de acesso não autorizado: Se as gravações não forem adequadamente protegidas, podem ser acedidas por pessoas não autorizadas. Risco de uso indevido dos dados: As gravações podem ser usadas para fins não previstos, como a monitorização do desempenho dos funcionários.

Necessidade: A empresa justifica que as câmaras são necessárias para proteger o seu património, prevenir furtos e garantir a segurança de funcionários e visitantes. Proporcionalidade: A empresa decide evitar câmaras em locais sensíveis, como casas de banho e salas de pausa, para minimizar a intromissão na privacidade. Além disso, é colocada sinalização clara sobre a presença das câmaras.

A empresa instala câmaras em todas as áreas comuns e no exterior do edifício.As imagens são gravadas 24 horas por dia, guardadas durante 30 dias e acessíveis pela equipa de segurança e gestão.As gravações podem ser partilhadas com as autoridades em caso de incidentes.

Passos da Avaliação de Impacto:

Descrição do Tratamento de Dados:

Avaliação da Necessidade e Proporcionalidade:

Identificação dos Riscos para os Direitos e Liberdades:

Medidas para Mitigar os Riscos:

Conclusão

Se os riscos não pudessem ser suficientemente mitigados, a empresa teria que consultar a autoridade de proteção de dados antes de iniciar o tratamento. Este exemplo prático ilustra como uma Avaliação de Impacto sobre a Proteção de Dados pode ser aplicada, assegurando que o tratamento de dados pessoais é feito de forma segura em conformidade com o RGPD.

Conclusão da AIPD: Após a análise, a empresa conclui que, com as medidas de segurança e transparência implementadas, os riscos para os direitos e liberdades dos indivíduos foram reduzidos a um nível aceitável. .

De quem é a competência?

Autoridade de controlo

'A empresa XPTO, multinacional de comércio eletrónico, com sede em França, processa dados pessoais de clientes em vários Estados-membros da União Europeia (Portugal, Alemanha, Espanha, Itália, etc.). Esta empresa tem filiais nestes países, mas a gestão central das operações de tratamento de dados pessoais, incluindo questões como a definição dos fins e meios do tratamento, é feita a partir da sede em França.

Segundo o Artigo 56º, a Competência da Autoridade de Controlo Principal é aquela do país onde a empresa tem o seu estabelecimento principal, ou seja, onde são tomadas as decisões centrais sobre o tratamento de dados. No caso desta empresa, a sede fica em França (e a autoridade é a CNIL) e é lá que se tomam as decisões relativas ao tratamento de dados pessoais. Se a sede fosse em Portugal, seria a Comissão Nacional de Proteção de Dados (CNPD) como autoridade pública independente, com responsabilidades pela fiscalização da aplicação do RGPD e demais legislação nacional.

+ info

Exemplo

No entanto, tem de haver cooperação Transfronteiriça: Apesar de haver uma autoridade principal em França, as outras autoridades dos países onde a Empresa XPTO opera (Portugal, Alemanha, Espanha, Itália) têm o direito de colaborar. Caso surjam queixas de clientes nestes países relacionadas com o tratamento de dados pessoais, essas autoridades locais (em Portugal a CNPD) irão cooperar com a autoridade principal (de França) para garantir uma resposta coordenada.

O Artigo 56º visa simplificar a supervisão e o cumprimento do RGPD em operações transfronteiriças, permitindo que uma empresa com operações em vários países da UE lide principalmente com uma única autoridade de controlo (a autoridade principal). Isso proporciona mais eficiência e coerência na aplicação das regras de proteção de dados. Este exemplo ilustra como uma empresa multinacional, ao centralizar as suas operações de dados num único país, lida com uma autoridade principal para cumprir o RGPD.

Conclusão

Por Exemplo: Um cliente em Portugal submete uma reclamação à CNPD, alegando que a empresa violou os seus direitos sob o RGPD. A CNPD, remeterá o caso à CNIL (autoridade principal -França), que assumirá a responsabilidade pela investigação e aplicação de medidas corretivas, enquanto a CNPD, continuará envolvida no processo para proteger os interesses do titular dos dados.

Violação de dever de sigilo se o agente for trabalhador em funções públicas ou equiparado, em que ocorre o agravamento da pena. O Ricardo é um funcionário de um Centro de saúde. Ele tem acesso a informações médicas e pessoais sensíveis de cidadãos, que são protegidas por sigilo profissional. No entanto, o Ricardo, sem autorização e de forma intencional, decide partilhar os dados de saúde de um paciente específico com terceiros, que não têm qualquer legitimidade para aceder a esses dados. Ele fá-lo em troca de um beneficio pessoal.

Quem, obrigado a sigilo profissional nos termos da lei, sem justa causa e sem o devido consentimento, revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão até 1 ano ou com pena de multa até 120 dias. A pena é agravada para o dobro nos seus limites se o agente: a) For trabalhador em funções públicas ou equiparado, nos termos da lei penal; b) For encarregado de proteção de dados; c) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo; d) Puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros.

Violação do dever de sigilo

EXEMPLO

Este exemplo ilustra a aplicação prática de como a pena pode ser agravada quando um funcionário público ou equiparado viola o dever de sigilo, uma vez que o estatuto especial do agente (funções públicas) torna a infração mais grave aos olhos da lei.

Conclusão

O agravamento ocorre porque a violação cometida por um trabalhador em funções públicas é considerada mais grave devido à relação de confiança que a sociedade deposita nos funcionários públicos para proteger os dados e informações sensíveis dos cidadãos. Essa confiança é essencial para o funcionamento das instituições públicas, nas diferentes áreas, mas especialmente em áreas como saúde, justiça ou segurança.

Cooperação com as Autoridades de Proteção de Dados

Política de Retenção de Dados

Formação e Consciencialização

Gestão de Riscos e Auditorias Regulares

Princípio da Minimização de Dados

10

Compliance - Boas Práticas a adotar pela empresa/organização

Neste módulo foram apresentadas 19 medidas técnicas e organizativas, de compliance, assim como boas práticas a adotar, com vista à proteção de dados. No entanto, apresentamos ainda 10 Boas práticas que uma empresa ou organização deve adotar para garantir a conformidade com o RGPD e outras normas de proteção de dados. Carregue em cada uma para visualizar e depois visualize a Conclusão.

Nomeação de um Encarregado de Proteção de Dados (EPD);

Anotação e Registo de Atividades ...

Conclusão

Avaliação de Impacto sobre a Proteção de Dados (AIPD)

Transparência e Consentimento

Medidas Técnicas e Organizativas para a Segurança dos Dados

FIM

Volte à lição! no outro separador

Formação e Consciencialização A formação dos funcionários sobre as suas responsabilidades no cumprimento do RGPD é essencial para evitar erros ou violações acidentais. Boa prática: Implementar programas de formação contínua para todos os níveis da organização, abordando desde as obrigações básicas até casos específicos de tratamento de dados.

10

Cooperação com as Autoridades de Proteção de DadosManter uma comunicação aberta e proativa (por parte do EPD) com as autoridades de proteção de dados (a CNPD em Portugal), especialmente em caso de dúvidas ou investigações. Boa prática: Relatar qualquer violação de dados pessoais no prazo de 72 horas e cooperar plenamente durante eventuais investigações.

Medidas Técnicas e Organizativas para a Segurança dos DadosImplementar medidas de segurança fortes (como encriptação, pseudonimização, controlo de acesso) para proteger os dados pessoais contra acessos não autorizados, violações, perdas ou destruição. Boa prática: Realizar testes regulares de segurança e formações periódicas para funcionários, bem como implementar planos de resposta a incidentes, incluindo procedimentos de notificação de violações de dados.

Transparência e ConsentimentoAssegurar que os titulares dos dados estão plenamente informados sobre como os seus dados serão usados, e garantir que o consentimento (quando necessário) é obtido de forma livre, específica, informada e explícita. Boa prática: Utilizar políticas de privacidade claras e de fácil compreensão, e garantir que o consentimento pode ser facilmente retirado pelos utilizadores.

Gestão de Riscos e Auditorias RegularesCriar um sistema de gestão de riscos que identifique, avalie e mitigue os riscos relacionados ao tratamento de dados pessoais.Boa prática: Realizar auditorias internas periódicas e ter procedimentos para corrigir falhas ou áreas de não conformidade.

Princípio da Minimização de DadosApenas recolher e tratar os dados estritamente necessários para cumprir a finalidade pretendida. Boa prática: Revisar regularmente os dados recolhidos e assegurar que quaisquer dados desnecessários são eliminados de forma segura.

Anotação e Registo de Atividades de Tratamento Registar todas as atividades de tratamento de dados que a organização realiza, incluindo os dados recolhidos, a finalidade, a base legal e com quem são partilhados. Esse registo ajuda a organização a identificar riscos e áreas de não conformidade. Boa prática: Realizar auditorias regulares para garantir que o registo está atualizado e cobre todas as operações de tratamento de dados.

Conclusão

Fazer uso destas boas práticas ajudará a organização a cumprir não só as obrigações do RGPD, mas também a criar um ambiente seguro e ético para o tratamento de dados pessoais, evitando riscos legais e, assegurando a confiança dos clientes e colaboradores.

Consequências: Essa ação constitui uma violação do dever de sigilo, conforme a legislação, pois o Ricardo revelou informações pessoais sem consentimento e violou as suas responsabilidades enquanto trabalhador em funções públicas. Agravamento da Pena: Segundo a lei, a pena por violação do dever de sigilo pode ser agravada para o dobro nos seus limites se o agente for um trabalhador em funções públicas ou equiparado. Cenário 1: Se fosse um trabalhador comum (não funcionário público), a pena seria, por exemplo, entre 1 a 2 anos de prisão. Cenário 2(a que corresponde o exemplo): Como o Ricardo é um funcionário público, a sua pena pode ser agravada para o dobro, ficando entre 2 a 4 anos de prisão.

Caso a autoridade de controlo principal decida não tratar o caso, é a autoridade de controlo que a informou, que o trata, nos termos dos artigos 61º e 62º- (nº5, artº 56.º, RGPD).

VS

Agravamento da pena

Segundo a lei, a pena por violação do dever de sigilo pode ser agravada para o dobro nos seus limites se o agente for um trabalhador em funções públicas ou equiparado. Cenário 1: Se fosse um trabalhador comum (não funcionário público), a pena seria, por exemplo, entre 1 a 2 anos de prisão. Cenário 2 (a que corresponde o exemplo): Como o Ricardo é um funcionário público, a sua pena pode ser agravada para o dobro, ficando entre 2 a 4 anos de prisão.

Consequências

Essa ação constitui uma violação do dever de sigilo, conforme a legislação, pois o Ricardo revelou informações pessoais sem consentimento e violou as suas responsabilidades enquanto trabalhador em funções públicas.

Política de Retenção de DadosCriar uma política de retenção de dados clara, que defina por quanto tempo os dados serão armazenados e os prazos de eliminação de dados pessoais. Boa prática: Implementar sistemas automáticos que garantam a eliminação segura dos dados após o prazo legal ou a finalidade do tratamento.

Nomeação de um Encarregado de Proteção de Dados (EPD)Este profissional é responsável por garantir que a organização está em conformidade com as obrigações de proteção de dados.

Avaliação de Impacto sobre a Proteção de Dados (AIPD)Sempre que uma nova operação de tratamento de dados, envolver riscos elevados para os direitos dos titulares, é necessária uma Avaliação de Impacto sobre a Proteção de Dados (AIPD). Boa prática: Implementar um processo padrão para avaliar novos projetos ou tecnologias e garantir que as AIPD são realizadas de forma eficaz antes de implementar o tratamento.