Want to create interactive content? It’s easy in Genially!

Get started free

Exemplos RGPD M2

sonia guerreiro

Created on October 21, 2024

Start designing with a free template

Discover more than 1500 professional designs like these:

Investment Presentation

Startup pitch

Akihabara Presentation Mobile

Relaxing Presentation

Practical Presentation

Subject Presentation

Watercolor and Paintbrushes Presentation

Explore all templates

Transcript

Exemplos práticos

Artigo 33º, Artigo 34º)- Notificação/Comunicação de uma violação de dados pessoais

Imagine que a empresa YXK, especializada em serviços de saúde, sofreu um ataque informático (ciberataque) que comprometeu dados pessoais sensíveis dos seus clientes, incluindo dados médicos e informações de contacto. Esta violação de segurança expôs informações de centenas de pacientes. Vamos ver como a empresa deve proceder à luz dos Artigos 33.º e 34.º do RGPD.

1. Descoberta da violação

+ info

Passos práticos que a empresa deve ter:

+ info

2. Avaliação da violação

3. Notificação à autoridade de controlo (CNPD):

+ info
De acordo com o Art. 33.º, quando ocorre uma violação de dados pessoais, a empresa é obrigada a notificar a autoridade de controlo (a Comissão Nacional de Proteção de Dados - CNPD) no prazo de 72 horas após ter conhecimento da violação, a não ser que a violação seja improvável de resultar num risco para os direitos e liberdades dos titulares dos dados. .

3. Exceção à comunicação

Passos práticos que a empresa deve ter:

Artigo 34.º – Comunicação de uma violação de dados pessoais ao titular dos dados

De acordo com o Art. 34.º, se a violação de dados poder resultar num elevado risco para os direitos e liberdades das pessoas, a empresa deve informar diretamente os titulares dos dados afetados (neste caso, os pacientes da YXK), exceto se forem aplicadas medidas que mitiguem o risco.
+ info
+ info
+ info

1. Avaliação do risco para os titulares dos dados

2. Comunicação aos titulares dos dados

Artigos 33.º e 34.º do RGPD

Conclusão

Este exemplo prático ilustra como a empresa deve agir perante uma violação de dados pessoais.
Primeiro, notifica a autoridade de controlo no prazo de 72 horas (Art. 33.º) e, se houver um elevado risco para os titulares dos dados, comunica diretamente com os afetados (Art. 34.º).
Assegurar estas notificações é essencial para garantir a conformidade com o RGPD e minimizar os danos para os titulares dos dados.
ELIMINAR.

PROTEÇÃO DE DADOS EM ÂMBITO LABORAL

O empregador não pode exigir a candidato a emprego ou a trabalhador que preste informações relativas: “1- a) À sua vida privada, salvo quando estas sejam estritamente necessárias e relevantes para avaliar da respetiva aptidão no que respeita à execução do contrato de trabalho e seja fornecida por escrito a respetiva fundamentação; b) À sua saúde ou estado de gravidez, salvo quando particulares exigências inerentes à natureza da atividade profissional o justifiquem e seja fornecida por escrito a respetiva fundamentação. […]” (Artº 17º do CT)

O Código do Trabalho é a base jurídica que rege as relações laborais em Portugal, entre trabalhadores e entidades empregadoras. É a Lei n.º 7/2009, de 12 de Fevereiro que o aprova.

O empregador, pode exigir a um candidato a emprego ou a trabalhador, que preste informações sobre a sua vida privada ou seu estado de saúde?

Dados biométricos

Artº 18º - CT Controlo de assiduidade (acesso –artº28, nº 6 da LPDP)

Os dados biométricos podem ser utilizados para controlo de assiduidade e, controlo de acesso às instalações do empregador, tendo como fundamento os seus interesses legítimos (prevendo-se que venha ser também aplicado ao controlo de acessos a sistemas e aplicações informáticas)..

Exemplo

O Diretor da Empresa XXX sediada em Lisboa e com 30 trabalhadores, resolveu de imediato, notificar cada um dos trabalhadores, para se apresentarem no auditório em horas diferentes para recolha de dados biométricos.

Este procedimento é correto?

Não. O empregador só pode tratar dados biométricos do trabalhador após notificação à CNPD. Notificando os trabalhadores de imediato, não houve notificação à CNPD. Esta notificação, deve ser acompanhada de parecer da comissão de trabalhadores ou, não estando este disponível 10 dias após a consulta, de comprovativo do pedido de parecer.

Imagine que a empresa “ABC" desenvolve software e, como parte do seu processo de contratação, recolhe e trata dados pessoais dos candidatos a emprego. A empresa pretende recolher dados como o nome, endereço de e-mail, número de telefone e qualificações profissionais dos candidatos. De acordo com o Artigo 6.º do RGPD, o tratamento dos dados pessoais só é lícito se estiver enquadrado numa das seis bases legais previstas. Carregue em cada círculo, para saber mais.

Artº 6º RGPD - Licitude do Tratamento de dados pessoais Este artigo estabelece as bases legais que tornam o tratamento de dados pessoais lícito.

1. Consentimento do titular dos dados [Art. 6.º, nº 1, alínea a) ]
2. Execução de um contrato [Art. 6.º, nº 1, alínea b) ]
3. Cumprimento de uma obrigação legal [Art. 6.º, nº 1, alínea c) ]
4. Proteção de interesses vitais [Art. 6.º, nº 1, alínea d) ]
5. Interesse público ou exercício de autoridade pública [Art. 6.º, nº 1, alínea e) ]
6. Interesses legítimos [Art. 6.º, nº 1, alínea f) ]

Artº 6º RGPD - Licitude do Tratamento de dados pessoais

Conclusão

Cada uma destas situações ilustra uma das bases legais para o tratamento de dados pessoais de acordo com o Artigo 6.º do RGPD.
Dependendo do contexto, a empresa precisa de garantir que o tratamento é lícito e justificado por uma destas seis bases, respeitando sempre os princípios da proteção de dados e os direitos dos titulares..

Artº 17º, nº1 da LPDP Proteção de dados pessoais de pessoas falecidas

Os dados pessoais de pessoas falecidas são protegidos nos termos do RGPD e da presente lei quando:
  • Se integrem nas Categorias especiais de dados pessoais (dados sensíveis –artº 9º, nº1, RGPD);
  • Se reportem à intimidade da vida privada;
  • Se reportem à imagem;
  • Se reportem a dados relativos às comunicações.
.
+ info
info

3.Imagem

+ info

4.Dados relativos às comunicações

+ info
+ info

2. Dados relacionados à intimidade da vida privada

+ info

1. Categorias especiais de dados pessoais (dados sensíveis)

Imagine que o Carlos faleceu recentemente, e a sua família está a organizar uma homenagem pública. No entanto, há questões sobre a utilização dos seus dados pessoais e, como eles estão protegidos após a sua morte.

Artº 17º, nº1 da LPDP- Proteção de dados pessoais de pessoas falecidas Dados sensíveis –artº 9º, nº1, RGPD

Conclusão

Apesar do Carlos ter falecido, os seus dados pessoais continuam a ser protegidos em várias situações, como os seus dados de saúde, a sua intimidade, imagem e comunicações privadas.
O tratamento destes dados deve ser feito com base na legislação aplicável, garantindo o respeito pela memória e dignidade da pessoa falecida.
Este exemplo ilustra, como as diferentes categorias de dados pessoais de uma pessoa falecida, estão protegidas ao abrigo do RGPD e da LPDP.
Feche este separador e volte ao separador da lição.P)

FIM

A família do Carlos decide criar um memorial digital que inclui fotografias e vídeos dele.. Antes de publicar essas imagens, devem ter em consideração que o uso da imagem do Carlos continua a estar protegido. Qualquer uso indevido da sua imagem, sem autorização ou fora do contexto aprovado pela família, pode ser considerado uma violação da proteção de dados.

A equipa de segurança avalia a extensão do ataque e confirma que a violação pode representar riscos significativos para os direitos e liberdades dos titulares dos dados (exposição de informações médicas sensíveis).

Após ser selecionado, o João é contratado pela ABC. Durante o processo de contratação, a empresa necessita tratar os seus dados pessoais para a execução do contrato de trabalho, como a recolha do NIF e da morada para fins de pagamento de salário e registo nas finanças. Este tratamento é necessário para a execução do contrato de trabalho entre João e a empresa.

A empresa utiliza um sistema de videovigilância nas suas instalações para garantir a segurança dos funcionários e dos bens da empresa. No entanto, não houve consentimento explícito por parte dos funcionários para a captação de imagens, mas o tratamento de dados é considerado legítimo, pois a videovigilância é necessária para proteger os interesses legítimos da empresa (segurança), desde que este tratamento não infrinja os direitos e liberdades dos funcionários.

A empresa deve comunicar diretamente com todos os pacientes afetados, informando-os da violação e sugerindo medidas preventivas, como mudar senhas ou estar atentos a possíveis fraudes. Esta comunicação deve ser feita de forma clara e simples, explicando:

  • A natureza da violação.
  • As prováveis consequências para os titulares dos dados.
  • As medidas que a empresa está a tomar para mitigar o impacto.
  • Recomendações de como os titulares podem proteger-se (ex. contactar as autoridades em caso de uso indevido).
EXEMPLO DE COMUNICAÇÃO (passe por cima da palavra)

Se a YXK tivesse implementado medidas técnicas adequadas, como encriptação dos dados, que tornassem as informações inacessíveis mesmo em caso de violação, não seria necessário comunicar diretamente aos titulares, conforme exceção prevista no Art. 34.º.

A YXK considera que a violação envolve informações de saúde e contacto, o que pode expor os pacientes a riscos de roubo de identidade e possível uso indevido de dados médicos. Portanto, há um elevado risco para os direitos e liberdades dos titulares dos dados.

O Carlos tinha um histórico clínico que incluía informações sobre a sua saúde, e parte desse historial está nos registos do hospital. De acordo com o art. 9.º, nº 1 do RGPD, os dados de saúde são considerados "categorias especiais de dados pessoais" (também conhecidos como "dados sensíveis"). Mesmo após a morte, a divulgação ou tratamento desses dados só pode ser feita em circunstâncias específicas, como o consentimento da família ou por motivos legais.

A família do João decide criar um memorial digital que inclui fotografias e vídeos do João. Antes de publicar essas imagens, devem ter em consideração que o uso da imagem do João continua a estar protegido. Qualquer uso indevido da sua imagem, sem autorização ou fora do contexto aprovado pela família, pode ser considerado uma violação da proteção de dados.

Carlos também mantinha um diário pessoal online (um blog privado) onde compartilhava detalhes íntimos da sua vida, como as suas emoções, relacionamentos e desafios pessoais. Estes dados estão relacionados com a sua intimidade e, mesmo após a sua morte, estão protegidos. Se alguém quisesse divulgar esse conteúdo, a família ou outra entidade responsável teria de autorizar, garantindo que a privacidade do Carlos seja respeitada.

A ABC tem de fornecer dados de alguns colaboradores para efeitos de auditoria e cumprimento de normas de segurança pública impostas por uma entidade pública de acordo com regulamentos nacionais. Este tratamento é necessário para o cumprimento de uma tarefa de interesse público.

Após identificar o ciberataque, a Empresa confirma que os hackers acederam a dados pessoais de saúde de alguns pacientes.

Num dia de trabalho, João sofreu um acidente grave nas instalações da empresa e precisou de assistência médica de emergência. Para prestar os primeiros socorros, a empresa e a equipa médica trataram dados pessoais de saúde do João, como o seu tipo de grupo sanguíneo, sem o seu consentimento, uma vez que era necessário para proteger os seus interesses vitais (a sua vida e saúde).

Caros também tinha e-mails e mensagens trocadas com amigos e colegas. Após a sua morte, esses dados, que dizem respeito às suas comunicações privadas, continuam a ser protegidos. Por exemplo, o conteúdo dos seus e-mails pessoais não pode ser acedido por qualquer pessoa sem autorização, garantindo que a confidencialidade das suas comunicações seja respeitada.

A ABC também precisa enviar alguns dados pessoais do João para a Segurança Social e as finanças, conforme exigido pela lei laboral e fiscal. Neste caso, o tratamento de dados é realizado para o cumprimento de uma obrigação legal, sem necessidade de consentimento adicional do João.

Após identificar o ciberataque, a Empresa confirma que os hackers acederam a dados pessoais de saúde de alguns pacientes.

A YXK a deve notificar a CNPD dentro de 72 horas. A notificação deve incluir os seguintes elementos:

  • Descrição da natureza da violação de dados, incluindo o tipo de dados afetados e o número aproximado de titulares englobados/afetados.
  • Nome e contacto do responsável pela proteção de dados ou outro ponto de contacto relevante.
  • Descrição das prováveis consequências da violação.
  • Medidas que a empresa está a tomar ou pretende tomar para mitigar os efeitos da violação e prevenir futuras ocorrências.
NOTIFICAÇÃO ATRAVÉS DO SITE DA CNPD (Passe por cima da palavra para visualizar o link e carregue no mesmo para aceder.)

A ABC coloca um formulário no seu site para os candidatos se inscreverem nas vagas de emprego. No formulário, existe uma opção onde o candidato dá o consentimento explícito para a recolha e tratamento dos seus dados para fins de recrutamento. O consentimento é claro, informado e dado voluntariamente pelo titular dos dados (o candidato).

A equipa de segurança avalia a extensão do ataque e confirma que a violação pode representar riscos significativos para os direitos e liberdades dos titulares dos dados (exposição de informações médicas sensíveis).