a n o v a l e i d e p r o t e Ç Ã o d e d a d o s no vo rgp d · 2017. 10. 4. · ÔÔÔ pÆp¹...

NOVO RGPD

T U D O O Q U E P R E C I S A D E S A B E R S O B R E

A N O V A L E I D E P R O T E Ç Ã O D E D A D O S

ÍNDICE

www.datapeers.itpeers.com

Contexto 3

A necessidade de proteger a informação 4

Um breve olhar sobre o novo regulamento 5

O novo regulamento 7

O RGPD aplica-se à sua organização? 9

O RGPD aplica-se à sua organização? - casos práticos 10

O preço da infração 11

Checklist do novo regulamento 12

O que posso fazer? 15

A solução Datapeers 16

A solução Datapeers - características 17

A solução Datapeers - aspetos técnicos 18

A solução Datapeers - esquema de funcionamento 19

Retorno sobre o investimento garantido 20

Perguntas frequentes 21


As empresas enfrentam ameaças crescentes de segurança e confidencialidade dos dados, o que as obriga a reavaliar as suas estratégias de gestão dos dados. Todos nós em algum momento da nossa vida efetuamos ações online, como comprar um produto, subscrever um serviço ou efetuar uma transferência bancária. As novas tecnologias potenciam um grande número de oportunidades a nível da otimização dos recursos, mas quando são mal utilizadas podem comprometer a segurança da informação dos cidadãos.

Uma das maiores preocupações de todas as empresas é a proteção da informação. Nunca antes como agora a necessidade de proteger os dados foi tão evidente. Um estudo levado a cabo pela Forrester prevê que o número global de utilizados de smartphones ultrapasse os 3,5 mil milhões em 2020 e este uso massivo de dispositivos móveis potencia a existência de ataques informáticos, comprometendo em grande escala a privacidade de todos e de cada um.

Os cidadãos devem ter controlo sobre os respetivos dados pessoais e deve simplificar-se o quadro legal dos negócios digitais. Para a Comissão Europeia, a proteção dos dados pessoais é um elemento-chave do Mercado Único Digital. Todo este cenário potenciou a criação do novo Regulamento Geral de Proteção de Dados (RGPD) para a União Europeia, que revoga a legislação atual sobre a proteção dos dados pessoais, publicada em 1995, época em que o acesso à Internet ainda não era generalizado. O novo regulamento entra em vigor em maio de 2018.

CONTEXTO


A NECESSIDADE DE PROTEGER A INFORMAÇÃO

3%

57% 61% 42%

78% 92% 35%

das empresas portuguesas tem um

plano a decorrer para garantir

conformidade com o RGPD em maio

de 2018

das empresas não protege a sua

informação com soluções de

proteção dos dados

de perda de produtividade em

cada ataque informático

de perda de receita em cada

ataque informático

das empresas em todo o Mundo

sofreu pelo menos um ataque

informático nos últimos dois anos

dos ataques sofridos acontece

devido a falhas de segurança

internas

dos ataques sofridos acontece

devido a perdas de informação em

dispositivos móveis

4,8%das empresas

portuguesas conhece bem o

novo regulamento de

proteção de dados

44%das empresas portuguesas

admite que não tem qualquer plano

para estar em conformidade com o

RGPD à data da sua entrada em

vigor


Nome oficial

Regulamento (UE) 2016/679 do Parlamento Europeu e

do Conselho de 27 Abril de 2016 sobre a proteção de

pessoas físicas no que diz respeito ao processamento de

dados pessoais e sobre a livre circulação de tais dados

Prazo

Entra em vigor no dia 25 de maio de 2018

Propósito

Dá aos indivíduos na União Europeia direitos mais

fortes, dotando-os de maior controlo sobre os seus

dados e privacidade na era digital

UM BREVE OLHAR SOBRE O NOVO REGULAMENTO


UM BREVE OLHAR SOBRE O NOVO REGULAMENTO

O que são dados pessoais?

De acordo com a legislação, consideram‑se dados

pessoais quaisquer informações relativas a uma pessoa

individual identificada ou identificável através das

mesmas (identificável «por referência a um número de

identificação ou a um ou mais elementos específicos da

sua identidade física, fisiológica, psíquica, económica,

cultural ou social»)

Certificação

Existe uma certificação opcional para as empresas que

cumpram com sucesso os requisitos legais. Esta

certificação pode significar uma vantagem competitiva

e ajudar a construir confiança dos Clientes


O processo legislativo sobre o novo regulamento teve início em 2012 na Comissão Europeia e após alguns debates chegou à versão final que foi publicada no início de maio de 2016. Esta nova lei aplica-se aos 28 Estados- Membros da União Europeia e entra em vigor, com carácter obrigatório, no dia 25 de maio de 2018.

As mudanças mais significativas e impactantes deste novo regulamento são as seguintes:

- Direito ao esquecimento: os cidadãos vão poder exigir às empresas que eliminem os respetivos dados pessoais. Este direito ao esquecimento é um prolongamento do direito já existente de impedir que os dados pessoais sejam tratados. O novo regulamento permite que os dados pessoais de cada cidadão sejam destruídos por sua solicitação.

- Portabilidade dos dados: os cidadãos poderão exigir às empresas que lhes enviem os seus dados pessoais num formato que permita que sejam enviados para outra empresa, facilitando a sua migração e tornando mais simples a mudança de prestação de serviços. Sempre que um cidadão mudar de Banco ou de prestador de serviços de televisão, não terá que fornecer novamente os seus dados pessoais, pois estes podem ser facilmente migrados de uma empresa para outra.

O NOVO REGULAMENTO


- Direito de oposição ao profiling: os sistemas informáticos das empresas deverão conseguir registar quem indicou recusa ao tratamento automatizado dos seus dados, como é habitualmente feito em processos de análise comportamental e criação de perfis de consumo. Nestas situações, os registos não poderão ser incluídos nos processos. - Registos e prova de consentimento: relativamente ao relacionamento online com clientes, os sistemas das empresas deverão expor as políticas de privacidade numa linguagem clara e objetiva. O consentimento do tratamento dos dados por parte dos cidadãos deverá ser guardado para servir como prova de consentimento livre e inequívoco.

- Privacidade por 'defeito' e design: deverão ser tomadas medidas que assegurem a proteção dos dados desde o desenho de aplicações informáticas, minimização do tratamento de dados pessoais, mascaramento dos dados, encriptação, entre outros aspetos. O objetivo é conseguir explicar todo o processo de tratamento e proteção dos dados.

- Obrigatoriedade de notificar: as empresas e as organizações têm o dever de notificar a Autoridade Nacional de supervisão para violações de dados para situações que coloquem os indivíduos em risco e comunicar ao cidadão em causa todas as violações de alto risco o mais rapidamente possível, de modo a que se possam tomar as medidas adequadas

O NOVO REGULAMENTO


O RGPD APLICA-SE À SUA ORGANIZAÇÃO?A nova lei de proteção de dados aplica-se a qualquer organização que faça negócios na União Europeia, independentemente de o processamento dos dados pessoais ocorrer na União Europeia ou não, e independentemente de serem dados pessoais sobre residentes da União Europeia ou apenas visitantes. É importante realçar que as novas regras se aplicam às empresas que estando estabelecidas fora da União Europeia processam dados pessoais de residentes ou visitantes da União Europeia, em conexão com:

• Ofertas de bens ou serviços, independentemente de o pagamento ser requerido, ou; • Monitorização do comportamento que ocorre na EU.

Ter um site ou um e-mail acessível na União Europeia não é suficiente para colocar o negócio sob a alçada do novo regulamento de proteção de dados. Contudo, alguns fatores podem indicar que uma organização pretende oferecer bens ou serviços a residentes ou visitantes na União Europeia, que trazem o negócio para o âmbito das novas regras. Esses fatores são:

• O uso de uma língua ou moeda geralmente utilizada em um ou mais Estados-Membros da União Europeia com a possibilidade de encomendar mercadorias e serviços nesse idioma; • A menção de clientes ou utilizadores que estão na União Europeia.


O RGPD APLICA-SE À SUA ORGANIZAÇÃO? Casos práticos

Cenário 1

Uma empresa sediada em Nova Iorque tem a função de projetar os lucros de uma empresa alemã para os próximos três anos. Os colaboradores da empresa americana vão usar dados fornecidos pela empresa alemã. Sendo assim, a empresa americana é obrigada a cumprir as novas normas do RGPD, porque os dados foram recolhidos no território da União Europeia.

Cenário 2

O "BuyEverything" é um site americano que permite que as pessoas comprem diversos produtos online. O site recolhe dados que posteriormente utiliza em campanhas de marketing. Se uma pessoa visita o website em território da União Europeia, o site torna-se "alvo" da nova lei. Isto significa que qualquer website que recolha dados e que permita visitas oriundas da União Europeia é obrigado a cumprir o novo RGPD.


As infrações para quem não cumprir a nova lei de proteção de dados são bastante pesadas e são um importante incentivo para que a lei se cumpra em toda a sua plenitude.

O valor mínimo para as multas não foi definido, mas as multas decorrentes de violações de dados pessoais podem atingir os 20 milhões de euros ou até quatro por cento do volume anual de negócios da empresa a nível mundial.

O PREÇO DA INFRAÇÃO

As coimas podem chegar aos

€20.000.000,00 ou, no caso de

uma empresa, até 4% do seu

volume de negócios anual a nível

mundial correspondente ao

exercício financeiro anterior,

consoante o montante que for

mais elevado.


CHECKLIST DO NOVO REGULAMENTO

Inventário de dados pessoais Faça uma lista de todos os dados pessoais que contém

com informação detalhada sobre o local de

armazenamento. Assim será mais fácil ter um

entendimento abrangente sobre o modo como os dados

pessoais são armazenados na sua empresa.

Análise do fluxo de dados Identifique todos os sistemas que armazenam dados

pessoais ao abrigo do novo RGPD. Deve mapear os fluxos

de dados desde o seu ponto de entrada até ao momento

da destruição, incluindo processos de terceiros. Este

mapeamento de dados vai ajudá-lo a garantir que todos

os riscos de perda de dados pessoais são eliminados (ou

pelo menos amplamente minimizados).



Registo das atividades de tratamento

Deve registar detalhadamente todas as atividades

relacionadas com o tratamento de dados pessoais, de

modo a que a organização demonstre que cumpre todas

as obrigações em vigor no RGPD. A legislação prevê que

as entidades em regime de subcontratação tenham quase

as mesmas obrigações que os responsáveis

pelo tratamento, estando assim obrigadas a provar que

cumprem o que é exigido.

Identificação de lacunas Defina como vai corrigir as lacunas detetadas durante o

período de avaliação do risco. Priorize os problemas de

acordo com o risco que apresentam. O plano de ação para

estas situações pode incluir: contratação de novos

colaboradores, formação de colaboradores atuais,

mudanças de processos e métodos e implementação de

novas tecnologias.



Avaliação dos riscos Siga os pontos de contacto para os dados e faça uma

avaliação de risco para cada fonte de dados e local de

armazenamento. Desta forma, vai estar mais preparado

em caso de ataque e vai ser capaz de identificar e

minimizar os riscos de sofrer algum ataque e perder

dados.

Nomeação de um Encarregado de Proteção de Dados Esta figura desempenha um papel essencial no período de

transição da lei antiga para a nova legislação. A pessoa

responsável pela proteção dos dados deve garantir que

tudo se encontra perfeitamente legal à data de entrada

em vigor do RGPD.


O QUE POSSO FAZER?

Analisar os dados pessoais geridos pela organização - fazer um inventário sobre esses dados: tipo de dados, onde foram

recolhidos e onde estão armazenados.

Verificar a política de privacidade para os dados recolhidos - verificar se as políticas de privacidade existentes na organização são

claras e explícitas, promovendo o fácil entendimento por parte dos

utilizadores

Nomear um Data Protection Officer - obrigatório para empresas com mais de 250 trabalhadores ou para

empresas que tenham no seu core business o processamento de dados de

terceiros ou se tratarem dados de categorias especiais (racial, étnica,

política, religiosa, entre outras).

Implementar políticas de gestão e proteção de dados -Garantir que se conhece a localização dos dados pessoais, que estes se

encontram devidamente protegidos de acesso não autorizado ou

mascarados e que são facilmente eliminados caso receba uma solicitação.

*Contamos com uma equipa profissional capaz de o ajudar nesta fase de transição para o novo RGPD. Fale connosco em caso de dúvida.


A SOLUÇÃO DATAPEERS

O Datapeers é uma solução inovadora e automatizada que permite

o mascaramento de dados e ajuda as empresas a cumprir os

requisitos de privacidade dos dados e em simultâneo aumenta a

qualidade dos processos de desenvolvimento, testes, formação e

certificação de software.

O Datapeers é uma solução completa que permite a criação

automatizada de bases de dados não-produtivas baseadas em

subconjuntos de dados de produção. Deste modo, permite que se

gerem dados de teste que satisfazem os padrões mais exigentes

das provas de software.


A SOLUÇÃO DATAPEERS Características

✓ Técnicas de mascaramento sofisticadas para proteger dados

sensíveis

✓ Deteção automática de dependências de dados e relações ocultas

✓ Extração inteligente de subconjuntos de dados e criação de dados

relevantes para diferentes ambientes

✓ Cumpre as normas da proteção de dados confidenciais como o

PCI-DSS e o RGPD


A SOLUÇÃO DATAPEERS Aspetos técnicos

INTEGRIDADE REFERENCIAL Relações entre dados consistentes, garantindo a qualidade

dos dados mesmo após alterações

MASCARAMENTO DOS DADOS Substituição de dados reais por dados fictícios mas

realistas, em conformidade com as principais regras e

regulamentos de proteção de dados corporativos e

governamentais

INTEROPERABILIDADE Possibilidade de trabalhar com múltiplas tecnologias de bases de

dados e sistemas operativos

GERAÇÃO DE DADOS-TESTE Gerador de dados que permite aos programadores e

administradores preencher bases de dados automaticamente com

dados de teste significativos e realistas

SUBCONJUNTOS DE DADOS Vários subconjuntos de dados que refletem com precisão a base de

dados de produção original e atendem às necessidades específicas

de cada tipo de teste


A SOLUÇÃO DATAPEERS Esquema de funcionamento


RETORNO SOBRE O INVESTIMENTO GARANTIDO

✓ Aumenta até 80% a produtividade das equipas ao

automatizar a maioria das tarefas de gestão de dados de

teste

✓ Reduz os custos dos testes até 75%

✓ O tempo de teste de novos ambientes reduz-se para

metade

✓ O aumento da qualidade dos dados diminui a necessidade

de repetir testes até obter a qualidade desejada

✓ Reduz os custos de infraestruturas através da otimização

dos recursos de disco e servidor

✓ O retorno do investimento é alcançado em menos de seis

meses após a implementação do Datapeers

✓ Garante que os ambientes não produtivos cumprem com as

obrigações decorrentes do RGPD


PERGUNTAS FREQUENTES

É necessário obter consentimento do titular dos dados no caso de

uma base de dados com informação de domínio público (ex: nº de

ordem profissional no setor da Saúde)?

Esta questão é um paradigma, pois os dados relacionados com o setor

da Saúde são sensíveis e recomenda-se o acesso apenas aos dados

estritamente necessários para a prossecução da função do

colaborador. Nestas situações, de modo a manter a confidencialidade

e integridade dos dados, aconselha-lhe a utilização de uma ferramenta

de mascaramento de dados, como o Datapeers.

O que é a Avaliação de Impacto sobre Protecção de Dados (DPIA)?

De acordo com a Comissão Europeia, o DPIA (Data Privacy Impact

Assessment, ou seja, Avaliação de Impacto da Privacidade de Dados) é

um processo destinado a descrever o processamento de dados

privados, que avalia a necessidade de um processamento e que ajuda a

gerir os riscos relacionados com o processamento dos dados pessoais

É uma avaliação de risco, que relaciona o impacto da concretização de

ameaças de privacidade de dados com a sua probabilidade de

acontecer.


PERGUNTAS FREQUENTES

Quais são as principais mudanças relativamente ao consentimento

por parte dos indivíduos e das empresas?

O regulamento cria barreiras adicionais às práticas atuais de recolha e

tratamento de dados em Portugal, introduzindo regras mais rígidas às

empresas no que diz respeito ao consentimento para a recolha e

tratamento de dados pessoais. As empresas têm que considerar a

criação de um contrato com o titular dos dados, o cumprimento de

obrigações jurídicas e a defesa de interesses vitais do titular dos

dados. Com o novo regulamento um contacto de um cartão-de-visita,

por exemplo, não poderá ser incluído em nenhuma base de dados sem

o consentimento explícito do seu titular. Em termos práticos, a

utilização de caixas previamente selecionadas, a ausência de

respostas, a inatividade e o consentimento através de termos e

condições deixarão de ser permitidos, pois nenhum dos meios

apresentados é considerado um meio de demonstração do

cumprimento dos requisitos de consentimento do novo regulamento.

Fale connosco e saiba como o podemos ajudar a vencer os desafios do novo RGPD

Centro Empresarial da Maia Rua Eng. Frederico Ulrich, 3210 4470-605 Maia, Portugal

www.datapeers.itpeers.com [email protected] +351 220 101 587

PARA MAIS INFORMAÇÕES

a n o v a l e i d e p r o t e Ç Ã o d e d a d o s no vo rgp d · 2017. 10. 4. · ÔÔÔ pÆp¹...

Documents